Oracle ZFS Storage Appliance 安全概述
访问控制列表 (Access Control List, ACL)
存储区域网络 (Storage Area Network, SAN)
文件传输协议 (File Transfer Protocol, FTP)
超文本传输协议 (Hypertext Transfer Protocol, HTTP)
网络数据管理协议 (Network Data Management Protocol, NDMP)
SSH 文件传输协议 (SSH File Transfer Protocol, SFTP)
SMB 协议也称为通用 Internet 文件系统 (Common Internet File System, CIFS) 协议,主要用于为 Microsoft Windows 网络上的文件提供共享访问。它还提供验证功能。
下面的 SMB 选项具有安全影响:
Restrict Anonymous Access to share list-此选项要求客户机在接收共享资源列表之前使用 SMB 进行验证。如果禁用此选项,则匿名客户机可以访问共享资源列表。默认情况下此选项处于禁用状态。
SMB Signing Enabled-此选项对 SMB 客户机互操作启用 SMB 签名功能。如果启用了此选项,将对签名的包的签名进行验证。如果禁用了此选项,将接受未签名的包且不会对签名进行验证。默认情况下此选项处于禁用状态。
SMB Signing Required-当需要 SMB 签名时可以使用此选项。当启用了此选项时,所有 SMB 包都必须签名,否则它们将被拒绝。不支持 SMB 签名的客户机无法连接到服务器。默认情况下,此选项处于禁用状态。
Enable Access-based Enumeration-设置此选项将基于客户机的凭证过滤目录条目。如果客户机无权访问某个文件或目录,则返回到客户机的条目列表中将省略该文件或目录。默认情况下此选项处于禁用状态。
在域模式中,用户是在 Active Directory 中定义的。SMB 客户机可以使用 Kerberos 或 NTLM 验证连接到 ZFSSA。
当用户通过完全限定的 ZFSSA 主机名进行连接时,同一域或可信域中的 Windows 客户机将使用 Kerberos 验证,否则,它们将使用 NTLM 验证。
当 SMB 客户机使用 NTLM 验证连接到 ZFSSA 时,用户的凭证将转发到 AD 域控制器进行验证。这称为直通式验证。
如果定义了限制 NTLM 验证的 Windows 安全策略,则 Windows 客户机必须通过完全限定的主机名连接到 ZFSSA。有关更多信息,请参见此 MSDN 文章:http://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx。
在验证之后,将为用户的 SMB 会话建立一个“安全上下文”。以安全上下文表示的用户具有唯一的安全描述符 (Security Descriptor, SID)。SID 指示文件所有权并用来确定文件访问权限。
在工作组模式中,用户是在 ZFSSA 本地定义的。当 SMB 客户机连接到处于工作组模式的 ZFSSA 时,将使用该用户的用户名和密码散列在本地对该用户进行验证。
当 ZFSSA 处于工作组模式时,将使用 LAN Manager (LM) 兼容性级别指定用于验证的协议。
下面的列表显示了每个 LM 兼容性级别的 ZFSSA 行为:
级别 2:接受 LM、NTLM 和 NTLMv2 验证
级别 3:接受 LM、NTLM 和 NTLMv2 验证
级别 4:接受 NTLM 和 NTLMv2 验证
级别 5:仅接受 NTLMv2 验证。
在成功验证工作组用户后,将建立安全上下文,并使用计算机 SID 和用户 UID 的组合为 ZFSSA 上定义的用户创建唯一的 SID。所有本地用户都定义为 UNIX 用户。
本地组是向用户提供额外权限的域用户组。管理员可以绕过文件权限来更改文件的所有权。备份操作员可以绕过文件访问控制来备份和恢复文件。
为确保只有适当的用户有权执行管理操作,对于使用 MMC 远程执行的操作施加了一些访问限制。
下面的列表显示了不同用户以及允许其执行的操作:
一般用户-列出共享资源
管理员组的成员-列出打开的文件以及关闭文件、断开用户连接、查看服务和事件日志
管理员组的成员还可以设置/修改共享资源级 ACL
管理员组的成员-列出打开的文件以及关闭文件、断开用户连接、查看服务和事件日志
病毒扫描服务在文件系统级别扫描病毒。通过任何协议访问文件时,病毒扫描服务都会先扫描文件;如果发现病毒,就会拒绝访问并隔离文件。扫描由 ZFSSA 连接的外部引擎执行。外部引擎未包括在 ZFSSA 软件中。
使用最新的病毒定义扫描了文件之后,在下次修改文件之前不会再扫描该文件。病毒扫描主要是为可能会引入病毒的 SMB 客户机提供的。NFS 客户机也可以使用病毒扫描,但是由于 NFS 协议的工作方式,此类客户机无法像 SMB 客户机那样快速检测到病毒。
SMB 没有实施任何延迟引擎来防止时序攻击。它依赖于 Solaris 加密框架。
SMB 服务使用 SMB 协议的版本 1,它不支持传输中数据的加密。