Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de sécurité de Sun QFS et Sun Storage Archive Manager 5.3 Sun QFS and Sun Storage Archive Manager 5.3 Information Library (Français) |
1. Présentation de Sun QFS et Sun Storage Archive Manager
2. Installation et configuration sécurisées
Présentation de l'installation
Comprendre votre environnement
Topologies de déploiement recommandées
Installation de Sun SAM-Remote
3. Fonctions de sécurité de Sun QFS et Sun Storage Archive Manager
Cette section décrit l'installation et la configuration sécurisées d'un composant d'infrastructure.
Pour plus d'informations sur l'installation de SAM-QFS, reportez-vous au Chapitre 5, Installation de Sun QFS et SAM-QFS du manuel Guide d’installation de Sun QFS et Sun Storage Archive Manager 5.3.
Tenez compte des points suivants lors de l'installation et de la configuration de SAM-QFS :
Réseau de métadonnées distinct : pour connecter les clients SAM-QFS aux serveurs MDS, fournissez un réseau TCP/IP séparé et un matériel du commutateur qui n'est connecté à aucun WAN. Le trafic des métadonnées étant mis en œuvre à l'aide de TCP/IP, une attaque externe sur ce trafic est théoriquement possible. La configuration d'un réseau de métadonnées séparé limite ce risque et permet également une performance améliorée. Les performances améliorées sont obtenues en fournissant un chemin d'accès garanti aux métadonnées. S'il est impossible de réaliser un réseau de métadonnées distinct, réduisez au moins le trafic sur les ports SAM-QFS à partir du WAN externe et de tous les hôtes non autorisés sur le réseau. Reportez-vous à la section Limiter l'accès réseau aux services critiques.
Zonage FC : utilisez le zonage FC pour refuser l'accès aux disques SAM-QFS à partir d'un serveur qui ne requiert pas d'accès aux disques. Utilisez de préférence un commutateur FC séparé pour uniquement connecter physiquement aux serveurs qui requièrent l'accès.
Protégez l'accès à la configuration des disques SAN : les disques SAN RAID sont généralement accessibles à des fins d'administration via le protocole TCP/IP ou plus généralement le protocole HTTP. Vous devez protéger les disques d'un accès externe en limitant l'accès administratif aux disques SAN RAID pour les systèmes uniquement au sein d'un domaine de confiance. D'autre part, modifiez le mot de passe par défaut sur des baies de stockage.
Installation du package SAM-QFS : tout d'abord, installez uniquement les packages dont vous avez besoin. Par exemple, si vous n'envisagez pas d'exécuter SAM, installez uniquement les packages QFS.
Les autorisations d'accès aux fichiers et répertoires SAM-QFS par défaut et les propriétaires ne doivent pas être modifiés sans envisager les implications en termes de sécurité de telles modifications.
Accès au client : si vous envisagez de configurer des clients partagés, déterminez les clients qui doivent avoir accès au système de fichiers dans le fichier host. Reportez-vous à la page de manuel hosts.fs(4 ). Configurez uniquement les hôtes qui requièrent l'accès au système de fichiers particulier en cours de configuration.
Renforcement du serveur de métadonnées Oracle Solaris : pour plus d'informations sur le renforcement du SE Oracle Solaris, reportez-vous aux Directives de sécurité d'Oracle Solaris 10 et aux Directives de sécurité d'Oracle Solaris 11. Choisissez au minimum un bon mot de passe root, installez une version à jour du SE Oracle Solaris, et restez à jour au niveau des patchs, particulièrement les patchs de sécurité.
Renforcement des clients Linux : consultez la documentation Linux pour savoir comment sécuriser les clients Linux. Choisissez au minimum un bon mot de passe root, installez une version à jour du système d'exploitation Linux, et restez à jour au niveau des patchs, particulièrement les patchs de sécurité.
Sécurité de bande SAM-QFS : empêchez l'accès externe aux bandes SAM depuis l'extérieur du SAM, ou limitez l'accès aux administrateurs uniquement. Utilisez le zonage FC pour limiter l'accès aux lecteurs de bandes uniquement aux MDS (ou aux MDS potentiels si un MDS de sauvegarde est configuré). En outre, limitez l'accès au fichier de périphérique de bande en attribuant des autorisations root uniquement. L'accès non autorisé aux bandes SAM peut compromettre ou détruire les données d'utilisateur.
Sauvegarde : définissez et exécutez des sauvegardes des données SAM-QFS à l'aide de la commande samfsdump ou qfsdump. Limitez l'accès aux fichiers de vidage comme cela est recommandé pour les bandes SAM.
Pour plus d'informations sur l'installation sécurisée du logiciel Sun SAM-Remote, reportez-vous au Chapitre 18, Utilisation du logiciel Sun SAM-Remote du manuel Guide de configuration et d’administration de Sun Storage Archive Manager 5.3.
Pour plus d'informations sur l'installation sécurisée de SAM-QFS Manager, reportez-vous au Chapitre 6, Installation et configuration de SAM-QFS Manager du manuel Guide d’installation de Sun QFS et Sun Storage Archive Manager 5.3.
Après avoir installé l'un des packages SAM-QFS, commencez par lire la liste de contrôle dans l'Annexe AListe de contrôle pour un déploiement sécurisé.