Veritas NetBackup™ Appliance セキュリティガイド

Last Published:
Product(s): Appliances (3.3.0.1)
Platform: NetBackup Appliance OS
  1. NetBackup appliance セキュリティガイドについて
    1.  
      NetBackup appliance セキュリティガイドについて
  2. ユーザー認証
    1. NetBackup Appliance のユーザー認証について
      1.  
        NetBackup アプライアンスで認証できるユーザーの種類
    2. ユーザー認証の設定について
      1.  
        一般的なユーザー認証ガイドライン
    3.  
      LDAP ユーザーの認証について
    4.  
      Active Directory ユーザーの認証について
    5.  
      スマートカードとデジタル証明書を使用した認証について
    6.  
      Kerberos-NIS ユーザーの認証について
    7.  
      アプライアンスのログインバナーについて
    8. ユーザー名とパスワードの仕様について
      1.  
        STIG 準拠パスワードポリシールールについて
  3. ユーザー権限の確認
    1.  
      NetBackup appliance におけるユーザー認可について
    2. NetBackup Appliance ユーザーの認可について
      1.  
        NetBackup appliance ユーザー役割権限
    3.  
      管理者ユーザーのロールについて
    4.  
      NetBackupCLI ユーザーロールについて
    5.  
      NetBackup でのユーザー権限の確認について
  4. 侵入防止、侵入検知システム
    1.  
      NetBackup appliance の Symantec Data Center Security について
    2.  
      NetBackup appliance の侵入防止システムについて
    3.  
      NetBackup appliance の侵入検知システムについて
    4.  
      NetBackup アプライアンスの SDCS イベントの見直し
    5.  
      NetBackup アプライアンスでのアンマネージモードでの SDCS の実行
    6.  
      NetBackup アプライアンスでのマネージモードでの SDCS の実行
  5. ログファイル
    1.  
      NetBackup appliance のログファイルについて
    2.  
      Support コマンドの使用によるログファイルの表示
    3.  
      Browse コマンドを使用した NetBackup appliance ログファイルの参照場所
    4.  
      NetBackup Appliance でのデバイスログの収集
    5.  
      ログ転送機能の概要
  6. オペレーティングシステムのセキュリティ
    1.  
      NetBackup アプライアンスのオペレーティングシステムのセキュリティについて
    2.  
      NetBackup appliance の OS の主要コンポーネント
    3.  
      NetBackup appliance の脆弱性スキャン
  7. データセキュリティ
    1.  
      データセキュリティについて
    2.  
      データ整合性について
    3.  
      データの分類について
    4. データの暗号化について
      1.  
        KMS サポート
  8. Web セキュリティ
    1.  
      SSL の使用について
    2.  
      サードパーティの SSL 証明書の実装
  9. ネットワークセキュリティ
    1.  
      IPsec チャネル設定について
    2.  
      NetBackup appliance ポートについて
    3.  
      NetBackup Appliance ファイアウォールについて
  10. コールホームセキュリティ
    1. AutoSupport について
      1.  
        データセキュリティ基準
    2. コールホームについて
      1.  
        NetBackup Appliance シェルメニューからのコールホームの構成
      2.  
        アプライアンスシェルメニューからのコールホームの有効化と無効化
      3.  
        NetBackup Appliance シェルメニューからのコールホームプロキシサーバーの構成
      4.  
        コールホームワークフローの理解
    3. SNMP について
      1.  
        MIB (Management Information Base) について
  11. リモート管理モジュール (RMM) セキュリティ
    1.  
      IPMI 設定の紹介
    2.  
      推奨される IPMI 設定
    3.  
      RMM ポート
    4.  
      リモート管理モジュールでの SSH の有効化
    5.  
      デフォルトの IPMI SSL 証明書の置換
  12. STIG と FIPS への準拠
    1.  
      NetBackup appliance に関する OS STIG の強化
    2.  
      適用外の STIG の強化ルール
    3.  
      NetBackup appliance における FIPS 140-2 への準拠
  13. 付録 A. セキュリティのリリース内容
    1.  
      NetBackup Appliance のセキュリティリリース内容
  14.  
    索引

適用外の STIG の強化ルール

このトピックでは、NetBackup appliance に現在適用されていない STIG (Security Technical Implementation Guide) のルールについて説明します。このリストに含まれるルールが適用されないのは、次に示す理由によると考えられますが、これらに限定されるものではありません。

  • 今後のアプライアンスのソフトウェアリリースで、ルールの適用が予定されています。

  • 別の方法を使って、ルールで説明されている方法と同等またはそれを超える保護を提供します。

  • ルールで説明する方法は、NetBackup appliance では使用およびサポートされません。

現在適用されていない STIG ルールを次に示します。

  • CCE-26876-3: gpgcheck がすべての yum パッケージリポジトリで有効になっていることを確認します。

    スキャナ重要度レベル: 高

  • CCE-27209-6: rpm のファイル権限を確認および修正します。

    スキャナ重要度レベル: 高

  • CCE-27157-7: rpm でファイルハッシュを確認します。

    スキャナ重要度レベル: 高

  • CCE-26818-5: 侵入検知ソフトウェアをインストールします。

    スキャナ重要度レベル: 高

  • CCE-80126-6: ACCM (Asset Configuration Compliance Module) をインストールします。

    スキャナ重要度レベル: 中

  • CCE-80369-2: PA (Policy Auditor) モジュールをインストールします。

    スキャナ重要度レベル: 中

  • CCE-27277-3: USB ストレージドライバの modprobe ロードを無効にします。

    スキャナ重要度レベル: 中

  • CCE-27349-0: 受信パケットのデフォルト firewalld ゾーンを設定します。

    スキャナ重要度レベル: 中

  • CCE-80170-4: libreswan パッケージをインストールします。

    スキャナ重要度レベル: 中

  • CCE-80223-1: 権限分離の使用を有効にします。

    スキャナ重要度レベル: 中

  • CCE-80347-8: gpgcheck がローカルパッケージで有効になっていることを確認します。

    スキャナ重要度レベル: 高

  • CCE-80348-6: gpgcheck がリポジトリメタデータで有効になっていることを確認します。

    スキャナ重要度レベル: 高

  • CCE-80358-5: dracut_fips パッケージをインストールします。

    セキュリティスキャナレベル: 中

  • CCE-80359-3: GRand Unified Bootloader バージョン 2 (GRUB2) の FIPS モードを有効にします。

    スキャナ重要度レベル: 中

  • CCE-27557-8: アイドル状態のセッションを終了する、対話式セッションタイムアウトを設定します。

    スキャナ重要度レベル: 中

  • CCE-80377-5: ハッシュを検証するよう、FIPS 140-2 に基づいて AIDE を構成します。

    スキャナ重要度レベル: 中

  • CCE-80351-0: 権限のエスカレーション (sudo_NOPASSWD) のためにユーザーが再認証することを確認します。

    スキャナ重要度レベル: 中

  • CCE-27355-7: アクティブでない状態の後のアカウントの有効期限を設定します。

    スキャナ重要度レベル: 中

  • CCE-80207-4: スマートカードログインを有効にします。

    スキャナ重要度レベル: 中

  • CCE-27370-6: ディスク容量が少ないときの auditd_admin_space_left_action を構成します。

    セキュリティスキャナレベル: 中

  • CCE-27295-5: 承認された暗号のみを使います。

    スキャナ重要度レベル: 中

  • CCE-26548-8: bootloader 構成による USB のカーネルサポートを無効にします。

    スキャナ重要度レベル: 低

  • CCE-27128-8: パーティションを暗号化します。

    スキャナ重要度レベル: 高

  • CCE-26895-3: ソフトウェアのパッチがインストールされていることを確認します。

    セキュリティスキャナレベル: 高

  • CCE-27279-9: SE Linux ポリシーを構成します。

    スキャナ重要度レベル: 高

  • CCE-27399-5: ypserv パッケージをアンインストールします。

    スキャナ重要度レベル: 高

  • CCE-80128-2: は、サービス釘を有効にします。

    スキャナ重要度レベル: 中

  • CCE-80129-0: ウイルススキャンの定義を更新します。

    スキャナ重要度レベル: 中

  • CCE-27288-0: SE Linux によってデーモンの制限がない状態にならないことを確認します。すべてのデーモンが SE Linux で制限されることを確認します。

    スキャナ重要度レベル: 中

  • CCE-27326-8: SE Linux によってラベル付けされていないデバイスファイルがないこと、またはすべてのデバイスファイルが SE Linux によってラベル付けされていることを確認します。

    スキャナ重要度レベル: 中

  • CCE-80354-4: UEFI ブートローダーのパスワードを設定します。

    スキャナ重要度レベル: 中

  • CCE-80171-2: 設定済みの IPSec トンネル接続を確認します。

    スキャナ重要度レベル: 中

  • CCE-26960-5: ブートファームウェアの USB デバイスからのブートを無効にします。

    スキャナ重要度レベル: 低

  • CCE-27194-0: ブートファームウェア構成の変更を防ぐためにパスワードを割り当てます。

    スキャナ重要度レベル: 低

  • CCE-80516-8: SSSD LDAP バックエンドクライアント CA 証明書を構成します。

    スキャナ重要度レベル: 中

  • CCE-80519-2: 多要素認証用のスマートカードパッケージをインストールします。

    スキャナ重要度レベル: 中

  • CCE-80520-0: スマートカードの証明書状態チェックを構成します。

    スキャナ重要度レベル: 中

  • CCE-80526-7: ユーザー初期化ファイルの所有グループがプライマリユーザーである必要があります。

    スキャナ重要度レベル: 中

  • CCE-80523-4: ユーザー初期化ファイルによる World Writable プログラムの実行を禁止します。

    スキャナ重要度レベル: 中

  • CCE-80527-5: ユーザー初期化ファイルの所有者がプライマリユーザーである必要があります。

    スキャナ重要度レベル: 中

  • CCE-80524-2: ユーザーのパスにローカルディレクトリのみが含まれていることを確認します。

    スキャナ重要度レベル: 中

  • CCE-80528-3: すべての対話型ユーザーのホームディレクトリが定義されている必要があります。

    スキャナ重要度レベル: 中

  • CCE-80529-1: すべての対話型ユーザーのホームディレクトリが存在している必要があります。

    スキャナ重要度レベル: 中

  • CCE-80534-1: ホームディレクトリ内にあるすべてのユーザーのファイルおよびディレクトリの所有グループがプライマリユーザーである必要があります。

    スキャナ重要度レベル: 中

  • CCE-80533-3: ホームディレクトリ内にあるすべてのユーザーのファイルおよびディレクトリの所有者がプライマリユーザーである必要があります。

    スキャナ重要度レベル: 中

  • CCE-80535-8: ホームディレクトリ内にあるすべてのユーザーのファイルおよびディレクトリにモード 0750 以下の権限が設定されている必要があります。

    スキャナ重要度レベル: 中

  • CCE-80532-5: すべての対話型ユーザーのホームディレクトリに存在する所有グループがプライマリユーザーである必要があります。

    スキャナ重要度レベル: 中

  • CCE-80531-7: すべての対話型ユーザーのホームディレクトリに存在する所有者がプライマリユーザーである必要があります。

    スキャナ重要度レベル: 中

  • CCE-80525-9: すべてのユーザー初期化ファイルにモード 0740 以下の権限が設定されていることを確認します。

    スキャナ重要度レベル: 中

  • CCE-80530-9: すべての対話型ユーザーのホームディレクトリにモード 0750 以下の権限が設定されている必要があります。

    スキャナ重要度レベル: 中

  • CCE-80383-3: ログオンイベントとログアウトイベント (faillock) を変更しようとする試みを記録します。

    スキャナ重要度レベル: 中

  • CCE-80381-7: 監査エラーが発生したときにシステムをシャットダウンします。

    スキャナ重要度レベル: 中

  • CCE-80439-3: タイムサービスのポーリング間隔の最大値を構成します。

    スキャナ重要度レベル: 低

  • CCE-80541-6: リモートサーバーにログを送信するように audispd プラグインを構成します。

    スキャナ重要度レベル: 中

  • CCE-80539-0: audispd のプラグインの disk_full_action オプションを構成します。

    スキャナ重要度レベル: 中

  • CCE-80540-8: audispd プラグインで送信された監査レコードを暗号化します。

    スキャナ重要度レベル: 中

  • CCE-80538-2: audispd のプラグインの network_failure_action オプションを構成します。

    スキャナ重要度レベル: 中

  • CCE-80542-4: 接続のレートを制限するように firewalld を構成します。

    スキャナ重要度レベル: 中

  • CCE-81153-9: /home に nosuid オプションを追加します。

    スキャナ重要度レベル: 低

  • CCE-80543-2: システムユーザーを適切な SELinux の役割にマッピングします。

    スキャナ重要度レベル: 中

  • CCE-80545-7: rpm の所有権を確認して修正します。

    スキャナ重要度レベル: 高

  • CCE-80512-7: 無制限のメールリレーを防止します。

    スキャナ重要度レベル: 中

  • CCE-26884-7: 失敗したパスワードの試行のロックアウト時間を設定します。

    スキャナ重要度レベル: 中

NetBackup appliance に関する OS STIG の強化を参照してください。