ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Sun QFS および Sun Storage Archive Manager 5.3 セキュリティーガイド Sun QFS and Sun Storage Archive Manager 5.3 Information Library (日本語) |
1. Sun QFS および Sun Storage Archive Manager の概要
このセクションでは、インフラストラクチャーコンポーネントをセキュアにインストールおよび構成する方法について説明します。
SAM-QFS のインストールについては、『Sun QFS および Sun Storage Archive Manager 5.3 インストールガイド』の第 5 章「Sun QFS と SAM-QFS のインストール」を参照してください。
SAM-QFS をインストールおよび構成する場合は、次の点を考慮してください:
個別のメタデータネットワーク – SAM-QFS クライアントを MDS サーバーに接続するには、どの WAN にも接続されていない個別の TCP/IP ネットワークとスイッチハードウェアを提供してください。メタデータトラフィックは TCP/IP を使用して実装されるため、このトラフィックに対する外部の攻撃が理論的には可能です。個別のメタデータネットワークを構成すると、このリスクが軽減されるだけでなく、パフォーマンスも向上します。このパフォーマンスの向上は、メタデータへの保証されたデータパスを提供することによって達成されます。個別のメタデータネットワークを実現できない場合は、少なくとも、外部の WAN や、ネットワーク上のすべての信頼できないホストから SAM-QFS ポートへのトラフィックを拒否してください。「ネットワークアクセスを重要なサービスに制限する」を参照してください。
FC ゾーニング – SAM-QFS ディスクへのアクセスを必要としないすべてのサーバーからこれらのディスクへのアクセスを拒否するには、FC ゾーニングを使用します。できれば、個別の FC スイッチを使用して、アクセスを必要とするサーバーにのみ物理的に接続してください。
SAN ディスク構成へのアクセスの保護 – SAN RAID ディスクには通常、TCP/IP か、またはより一般的には HTTP を使用して管理上の目的でアクセスできます。SAN RAID ディスクへの管理アクセスを信頼できるドメイン内のシステムのみに制限することによって、ディスクを外部アクセスから保護する必要があります。また、ディスクアレイ上のデフォルトのパスワードも変更してください。
SAM-QFS パッケージのインストール – まず、必要なパッケージのみをインストールします。たとえば、SAM を実行することを予定していない場合は、QFS パッケージのみをインストールします。
デフォルトの SAM-QFS ファイルおよびディレクトリアクセス権や所有者の、インストール後の変更は、このような変更のセキュリティーへの影響を考慮せずに行うべきではありません。
クライアントアクセス – 共有クライアントを構成することを予定している場合は、hosts ファイルで、どのクライアントがファイルシステムにアクセスできる必要があるかを決定してください。hosts.fs(4 ) のマニュアルページを参照してください。構成されている特定のファイルシステムへのアクセスを必要とするホストのみを構成します。
Oracle Solaris メタデータサーバーの強化 – Oracle Solaris OS の強化については、Oracle Solaris 10 のセキュリティーガイドラインおよび Oracle Solaris 11 セキュリティーガイドラインを参照してください。少なくとも、適切な root パスワードを選択し、最新バージョンの Oracle Solaris OS をインストールし、さらにパッチ (特に、セキュリティーパッチ) を最新の状態に維持してください。
Linux クライアントの強化 – Linux クライアントを強化する方法については、Linux のドキュメントを確認してください。少なくとも、適切な root パスワードを選択し、最新バージョンの Linux オペレーティングシステムをインストールし、さらにパッチ (特に、セキュリティーパッチ) を最新の状態に維持してください。
SAM-QFS テープのセキュリティー – SAM の外部から SAM テープへの外部アクセスを防ぐか、またはこのようなアクセスを管理者のみに制限します。テープドライブへのアクセスを MDS (または、バックアップ MDS が構成されている場合は潜在的な MDS) のみに制限するには、FC ゾーニングを使用します。また、root のみのアクセス権を付与することによって、テープデバイスファイルへのアクセスも制限します。SAM テープへの未承認のアクセスによって、ユーザーデータが危険にさらされたり、破棄されたりする場合があります。
バックアップ – samfsdump または qfsdump コマンドを使用して、SAM-QFS データのバックアップを設定および実行します。SAM テープに推奨されているのと同様に、ダンプファイルへのアクセスを制限します。
Sun SAM-Remote ソフトウェアのセキュアなインストールについては、『Sun Storage Archive Manager 5.3 構成および管理ガイド』の第 18 章「Sun SAM-Remote ソフトウェアの使用」を参照してください。
SAM-QFS Manager のセキュアなインストールについては、『Sun QFS および Sun Storage Archive Manager 5.3 インストールガイド』の第 6 章「SAM-QFS Manager のインストールと構成」を参照してください。
いずれかの SAM-QFS パッケージをインストールしたら、付録 A セキュアな配備のチェックリストにあるセキュリティーのチェックリストに従ってください。