| Navigationslinks überspringen | |
| Druckansicht beenden | |
|
Sicherheitshandbuch zu Sun QFS und Sun Storage Archive Manager 5.3 Sun QFS and Sun Storage Archive Manager 5.3 Information Library (Deutsch) |
| Navigationslinks überspringen | |
| Druckansicht beenden | |
|
|
Sicherheitshandbuch zu Sun QFS und Sun Storage Archive Manager 5.3 Sun QFS and Sun Storage Archive Manager 5.3 Information Library (Deutsch) |
1. Sun QFS und Sun Storage Archive Manager- Überblick
2. Sichere Installation und Konfiguration
3. Sun QFS und Sun Storage Archive Manager-Sicherheitsfunktionen
In diesem Abschnitt wird die sichere Installation und Konfiguration einer Infrastrukturkomponente beschrieben.
Informationen zur Installation von SAM-QFS finden Sie in Kapitel 5, Installing Sun QFS and SAM-QFS in Sun QFS and Sun Storage Archive Manager 5.3 Installation Guide.
Beachten Sie bei der Installation und Konfiguration von SAM-QFS Folgendes:
Separates Metadatennetzwerk – Stellen Sie zur Verbindung von SAM-QFS-Clients mit MDS-Servern ein separates TCP/IP-Netzwerk bereit und tauschen Sie Hardware aus, die mit keinem WAN verbunden ist. Da der Metadatenverkehr über TCP/IP implementiert wird, kann theoretisch ein externer Angriff erfolgen. Die Konfiguration eines separaten Metadatennetzwerks verringert dieses Risiko und sorgt zudem für eine bessere Leistung. Die Leistungsverbesserung ergibt sich durch den garantierten Pfad zu den Metadaten. Wenn kein separates Metadatennetzwerk erstellt werden kann, verweigern Sie den Datenverkehr vom externen WAN und von allen nicht vertrauenswürdigen Hosts im Netzwerk zu den SAM-QFS-Ports. Weitere Informationen finden Sie unter Netzwerkzugriff auf kritische Services beschränken.
FC-Zoning – Mithilfe von FC-Zoning können Sie allen Servern, die keinen Zugriff auf die Festplatten benötigen, den Zugriff auf die SAM-QFS-Festplatten verweigern. Verwenden Sie einen separaten FC-Switch, um eine physische Verbindung nur mit den Servern herzustellen, die den Zugriff benötigen.
Sicherer Konfigurationszugriff auf SAN-Festplatten – Der Zugriff auf SAN RAID-Festplatten erfolgt normalerweise zu Verwaltungszwecken über TCP/IP oder noch häufiger über HTTP. Sie müssen die Festplatten vor externen Zugriffen schützen, indem Sie den Systemverwaltungszugriff auf SAN RAID-Festplatten auf vertrauenswürdige Domains beschränken. Ändern Sie außerdem das Standardpasswort auf den Festplattenarrays.
SAM-QFS-Paket installieren – Installieren Sie zunächst nur die Pakete, die Sie benötigen. Beispiel: Wenn Sie SAM nicht ausführen möchten, installieren Sie nur die QFS-Pakete.
Die Standardberechtigungen für SAM-QFS-Dateien und Verzeichnisse sollten nach der Installation nicht ohne vorherige gründliche Überlegung der Auswirkungen geändert werden.
Clientzugriff – Wenn Sie gemeinsam genutzte Clients konfigurieren möchten, bestimmen Sie, welche Clients Zugriff auf das Dateisystem in der Datei hosts haben müssen. Weitere Informationen finden Sie auf der Manpage hosts.fs(4 ). Konfigurieren Sie nur diejenigen Hosts, die Zugriff auf das gerade konfigurierte Dateisystem benötigen.
Oracle Solaris-Metadatenserver absichern –Informationen zum Absichern des Oracle Solaris-BS finden Sie in den Oracle Solaris 10-Sicherheitsrichtlinien und in den Oracle Solaris 11-Sicherheitsrichtlinien. Mindestanforderungen sind ein sicheres Root-Passwort, die Installation der neuesten Oracle Solaris-BS-Version sowie der neuesten Patches (insbesondere Sicherheitspatches).
Linux-Clients absichern – Weitere Informationen zum Absichern von Linux-Clients finden Sie in der Linux-Dokumentation. Mindestanforderungen sind ein sicheres Root-Passwort, die Installation der neuesten Version des Linux-Betriebssystems sowie der neuesten Patches (insbesondere Sicherheitspatches).
Sicherheit bei SAM-QFS-Bändern – Unterbinden Sie den Zugriff auf SAM-Bänder außerhalb von SAM oder beschränken Sie den Zugriff auf Administratoren. Gewähren Sie mithilfe von FC-Zoning nur dem MDS (oder dem potenziellen MDS bei konfiguriertem MDS-Backup) Zugriff auf die Bandlaufwerke. Beschränken Sie ebenfalls den Zugriff auf Bandgerätedateien ausschließlich auf root. Durch den unberechtigten Zugriff auf SAM-Bänder können Benutzerdaten kompromittiert oder gelöscht werden.
Sicherungen – Einrichtung und Sicherung von SAM-QFS-Daten sollten mit den Befehlen samfsdump oder qfsdump durchgeführt werden. Schränken Sie den Zugriff auf Sicherungsdateien in dem für SAM-Bänder empfohlenen Maße ein.
Informationen zur sicheren Installation von Sun SAM-Remote-Software finden Sie in Kapitel 18, Using the Sun SAM-Remote Software in Sun Storage Archive Manager 5.3 Configuration and Administration Guide.
Informationen zur sicheren Installation von SAM-QFS Manager finden Sie in Kapitel 6, Installing and Configuring SAM-QFS Manager in Sun QFS and Sun Storage Archive Manager 5.3 Installation Guide.
Gehen Sie nach der Installation von SAM-QFS-Paketen die in Anhang ACheckliste für eine sichere Bereitstellung aufgeführte Checkliste durch.
|