| 跳过导航链接 | |
| 退出打印视图 | |
|
Sun QFS 和 Sun Storage Archive Manager 5.3 安全指南 Sun QFS and Sun Storage Archive Manager 5.3 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
Sun QFS 和 Sun Storage Archive Manager 5.3 安全指南 Sun QFS and Sun Storage Archive Manager 5.3 Information Library (简体中文) |
本节介绍了如何安全安装和配置基础结构组件。
有关安装 SAM-QFS 的信息,请参见《Sun QFS 和 Sun Storage Archive Manager 5.3 安装指南》中的第 5 章 "安装 Sun QFS 和 SAM-QFS"。
安装和配置 SAM-QFS 时请考虑以下几点:
独立的元数据网络-要将 SAM-QFS 客户机连接到 MDS 服务器,请提供独立的 TCP/IP 网络和未连接到任何 WAN 的交换机硬件。由于元数据通信是通过使用 TCP/IP 实现的,因此,从理论上讲,可能会存在对此通信的外部攻击。配置独立的元数据网络不仅可以缓解此风险,还可以提高性能。提高性能是通过提供元数据的可靠数据路径来实现的。如果独立的元数据网络不可行,则至少拒绝从外部 WAN 和网络中任何不受信任的主机到 SAM-QFS 端口的通信。请参见限制关键服务的网络访问权限。
FC 区域划分-使用 FC 区域划分可拒绝不需要访问 SAM-QFS 磁盘的任何服务器访问该磁盘。最好使用独立的 FC 交换机,以便采用物理方式仅连接到需要访问磁盘的服务器。
保护 SAN 磁盘配置访问权限-通常,出于管理目的,可以通过 TCP/IP 或 HTTP(更常用)访问 SAN RAID 磁盘。您必须将对 SAN RAID 磁盘的管理访问权限仅限定于可信域中的系统,以阻止对磁盘的外部访问。此外,请更改磁盘阵列的默认密码。
安装 SAM-QFS 软件包-首先,仅安装所需的那些软件包。例如,如果计划不运行 SAM,则仅安装 QFS 软件包。
在不考虑此类更改所带来的安全隐患的情况下,完成安装之后,不应更改默认 SAM-QFS 文件和目录的权限以及属主。
客户机访问权限-如果计划配置共享客户机,请在 hosts 文件中确定哪些客户机必须对文件系统具有访问权限。请参见 hosts.fs(4) 手册页。仅配置需要访问正在配置的特定文件系统的那些主机。
强化 Oracle Solaris 元数据服务器-有关强化 Oracle Solaris OS 的信息,请参见《Oracle Solaris 10 安全准则》和《Oracle Solaris 11 安全准则》。至少,选择一个较好的 root 用户密码,安装最新版本的 Oracle Solaris OS,并保持修补程序为最新,特别是安全修补程序。
强化 Linux 客户机-查看 Linux 文档中有关如何强化 Linux 客户机的内容。至少,选择一个较好的 root 用户密码,安装最新版本的 Linux 操作系统,并保持修补程序为最新,特别是安全修补程序。
SAM-QFS 磁带安全-阻止从 SAM 外部对 SAM 磁带进行外部访问,或将此类访问仅限定于管理员。使用 FC 区域划分可将对磁带机的访问权限仅限定于 MDS(或者如果已配置了备份 MDS,则仅限定于潜在的 MDS)。此外,通过仅为 root 用户授予权限来限制磁带设备文件的访问权限。在未经授权的情况下访问 SAM 磁带可能会危及用户数据安全或破坏用户数据。
备份-使用 samfsdump 或 qfsdump 命令设置和执行 SAM-QFS 数据的备份。像对待 SAM 磁带那样,建议限制转储文件的访问权限。
有关安全安装 Sun SAM-Remote 软件的信息,请参见《Sun Storage Archive Manager 5.3 配置和管理指南》中的第 18 章 "使用 Sun SAM-Remote 软件"。
有关安全安装 SAM-QFS Manager 的信息,请参见《Sun QFS 和 Sun Storage Archive Manager 5.3 安装指南》中的第 6 章 "安装和配置 SAM-QFS Manager"。
安装所有 SAM-QFS 软件包后,请仔细对照附录 A中的安全核对表。
|