Veritas NetBackup™ Appliance 安全指南

Last Published:
Product(s): Appliances (3.2)
Platform: NetBackup Appliance OS
  1. 关于 NetBackup appliance 安全指南
    1.  
      关于 NetBackup appliance 安全指南
  2. 用户身份验证
    1. 关于 NetBackup Appliance 上的用户身份验证
      1.  
        可在 NetBackup Appliance 上进行身份验证的用户类型
    2. 关于配置用户身份验证
      1.  
        通用用户身份验证准则
    3.  
      关于对 LDAP 用户进行身份验证
    4.  
      关于对 Active Directory 用户进行身份验证
    5.  
      关于使用智能卡和数字证书进行身份验证
    6.  
      关于对 Kerberos-NIS 用户进行身份验证
    7.  
      关于设备登录提示
    8. 关于用户名和密码规范
      1.  
        关于符合 STIG 规范的密码策略规则
  3. 用户授权
    1.  
      关于 NetBackup appliance 的用户授权
    2. 关于授权 NetBackup Appliance 用户
      1.  
        NetBackup appliance 用户角色权限
    3.  
      关于管理员用户角色
    4.  
      关于 NetBackupCLI 用户角色
  4. 入侵防护和入侵检测系统
    1.  
      关于 NetBackup appliance 上的 Symantec Data Center Security
    2.  
      关于 NetBackup appliance 入侵防护系统
    3.  
      关于 NetBackup appliance 入侵检测系统
    4.  
      重新查看 NetBackup 设备上的 SDCS 事件
    5.  
      在 NetBackup Appliance 上以非受控模式运行 SDCS
    6.  
      在 NetBackup Appliance 上以受控模式运行 SDCS
  5. 日志文件
    1.  
      关于 NetBackup appliance 日志文件
    2.  
      使用 Support 命令查看日志文件
    3.  
      可使用 Browse 命令从何处查找 NetBackup appliance 日志文件
    4.  
      收集 NetBackup Appliance 上的设备日志
    5.  
      日志转发功能概述
  6. 操作系统安全
    1.  
      关于 NetBackup Appliance 操作系统安全
    2.  
      NetBackup appliance 操作系统中包含的主要组件
    3.  
      NetBackup appliance 漏洞扫描
  7. 数据安全性
    1.  
      关于数据安全
    2.  
      关于数据完整性
    3.  
      关于数据分类
    4. 关于数据加密
      1.  
        KMS 支持
  8. Web 安全
    1.  
      关于 SSL 使用情况
    2.  
      实施第三方 SSL 证书
  9. 网络安全
    1.  
      关于 IPsec 通道配置
    2.  
      关于 NetBackup appliance 端口
    3.  
      关于 NetBackup Appliance 防火墙
  10. “自动通报”安全功能
    1. 关于 AutoSupport
      1.  
        数据安全标准
    2. 关于自动通报
      1.  
        从 NetBackup Appliance 命令行操作界面配置自动通报
      2.  
        从设备 Shell 菜单启用和禁用自动通报
      3.  
        从 NetBackup Appliance 命令行操作界面配置自动通报代理服务器
      4.  
        了解自动通报工作流程
    3. 关于 SNMP
      1.  
        关于管理信息库 (MIB)
  11. 远程管理模块 (RMM) 安全性
    1.  
      IPMI 配置简介
    2.  
      建议的 IPMI 设置
    3.  
      RMM 端口
    4.  
      在远程管理模块上启用 SSH
    5.  
      替换默认 IPMI SSL 证书
  12. STIG 和 FIPS 一致性
    1.  
      NetBackup appliance 的操作系统 STIG 加固
    2.  
      非强制 STIG 加固规则
    3.  
      NetBackup appliance 符合 FIPS 140-2 标准
  13. 附录 A. 安全版本内容
    1.  
      NetBackup Appliance 安全版本内容
  14.  
    索引

KMS 支持

NetBackup appliance 支持 NetBackup 密钥管理服务 (KMS)(与 NetBackup Enterprise Server 7.1 集成)管理的加密。主服务器和介质服务器设备支持 KMS。在设备主服务器上恢复 KMS 的唯一一种受支持的方法是重新生成数据加密密钥。

以下内容介绍了 KMS 密钥功能:

  • 无需额外的许可证。

  • 是基于主服务器的对称密钥管理服务。

  • 可以作为主服务器进行管理,并将磁带设备与之连接或与另一个 NetBackup appliance 连接。

  • 按照 T10 标准(例如 LTO4 或 LTO5)管理磁带驱动器的对称密码密钥。

  • 设计为使用基于卷池的磁带加密。

  • 可用于具有内置硬件加密功能的磁带硬件。

  • 可由 NetBackup CLI 管理员使用 NetBackup Appliance 命令行操作界面或 KMS 命令行界面 (CLI) 进行管理。

关于 KMS 下使用的密钥

KMS 将从密码生成密钥或自动生成密钥。表:KMS 文件列出了包含密钥相关信息的关联 KMS 文件。

表:KMS 文件

KMS 文件

描述

位置

密钥文件或密钥数据库

该文件对 KMS 至关重要,因为它包含数据加密密钥。

/usr/openv/kms/db/KMS_DATA.dat

主机主密钥

该文件包含使用 AES 256 加密并保护 KMS_DATA.dat 密钥文件的加密密钥。

/usr/openv/kms/key/KMS_HMKF.dat

密钥保护密钥

此加密密钥使用 AES 256 加密并保护 KMS_DATA.dat 密钥文件中的单个记录。当前,使用同一密钥保护密钥为所有记录加密。

/usr/openv/kms/key/KMS_KPKF.dat

配置 KMS

要在设备主服务器上配置 KMS,必须以 NetBackupCLI 用户身份登录。有关此用户的信息,请参考以下主题:

请参见关于 NetBackupCLI 用户角色

要创建 NetBackupCLI 用户,请参见《NetBackup Appliance 命令参考指南》。

以下内容介绍了如何在设备上配置并启用 KMS。

在设备上配置并启用 KMS

  1. 以 NetBackupCLI 用户身份登录设备主服务器。
  2. 使用 nbkms 命令创建空数据库,如下所示:

    [nbcli@myappliance~]# nbkms -createemptydb

  3. 启动 nbkms。例如:

    [nbcli@myappliance~]# nbkms

  4. 创建密钥组。例如:

    [nbcli@myappliance~]# nbkmsutil -createkg -kgname KMSKeyGroupName

  5. 创建活动密钥。例如:

    [nbcli@myappliance~]# nbkmsutil -createkey -kgname KMSKeyGroupName -keyname KMS KeyName

为 MSDP 启用 KMS 加密

在主服务器上配置并运行 KMS 后,可在与主服务器关联的所有介质服务器上为 MSDP 启用 KMS 加密。

要在设备介质服务器上为 MSDP 启用 KMS 加密,必须以 NetBackupCLI 用户身份登录。有关此用户的信息,请参考以下主题:

请参见关于 NetBackupCLI 用户角色

要创建 NetBackupCLI 用户,请参见《NetBackup Appliance 命令参考指南》。

以下内容介绍了如何在设备上为 MSDP 启用 KMS 加密。

为 MSDP 启用 KMS 加密

  1. 以 NetBackup CLI 用户身份登录设备介质服务器。
  2. 按照所示顺序更改以下选项:

    • nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSType --value=0

    • nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSServerName --value=<master server hostname>

    • nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSKeyGroupName --value=msdp

    • nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KeyName --value=<KMS KeyName>

    • nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSEnable --value=true

    • pdcfg --write= /msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=ContentRouter --option=ServerOptions --value=verify_so_references,fast,encrypt

      在与主服务器关联的所有介质服务器上重复执行此步骤

  3. 使用以下命令停止并重新启动 NetBackup 服务:

    • bp.kill_all

    • bp.start_all

  4. 要验证是否在介质服务器上为 MSDP 启用了 KMS 加密,请在服务器上运行备份作业,然后运行以下命令:

    crcontrol --getmode