JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle® ZFS Storage Appliance 安全指南
Oracle 技术网
文档库
PDF
打印视图
反馈
search filter icon
search icon

文档信息

Oracle ZFS Storage Appliance 安全概述

初始安装

物理安全

管理模型

ZFSSA 用户

访问控制列表 (Access Control List, ACL)

存储区域网络 (Storage Area Network, SAN)

数据服务

NFS 验证和加密选项

安全模式

Kerberos 类型

iSCSI

RADIUS 支持

服务器消息块 (Server Message Block, SMB)

Active Directory (AD) 域模式验证

工作组模式验证

本地组和权限

通过 Microsoft 管理控制台 (Microsoft Management Console, MMC) 执行管理操作

病毒扫描

针对时序攻击的延迟引擎

传输中数据的加密

文件传输协议 (File Transfer Protocol, FTP)

超文本传输协议 (Hypertext Transfer Protocol, HTTP)

网络数据管理协议 (Network Data Management Protocol, NDMP)

远程复制

影子迁移

SSH 文件传输协议 (SSH File Transfer Protocol, SFTP)

简单文件传输协议 (Trivial File Transfer Protocol, TFTP)

目录服务

系统设置

远程管理访问

日志

更多信息

文档对应关系

服务器消息块 (Server Message Block, SMB)

SMB 协议也称为通用 Internet 文件系统 (Common Internet File System, CIFS) 协议,主要用于为 Microsoft Windows 网络上的文件提供共享访问。它还提供验证功能。

下面的 SMB 选项具有安全影响:

Active Directory (AD) 域模式验证

在域模式中,用户是在 Active Directory 中定义的。SMB 客户机可以使用 Kerberos 或 NTLM 验证连接到 ZFSSA。

当用户通过完全限定的 ZFSSA 主机名进行连接时,同一域或可信域中的 Windows 客户机将使用 Kerberos 验证,否则,它们将使用 NTLM 验证。

当 SMB 客户机使用 NTLM 验证连接到 ZFSSA 时,用户的凭证将转发到 AD 域控制器进行验证。这称为直通式验证。

如果定义了限制 NTLM 验证的 Windows 安全策略,则 Windows 客户机必须通过完全限定的主机名连接到 ZFSSA。有关更多信息,请参见此 MSDN 文章:http://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx。

在验证之后,将为用户的 SMB 会话建立一个“安全上下文”。以安全上下文表示的用户具有唯一的安全描述符 (Security Descriptor, SID)。SID 指示文件所有权并用来确定文件访问权限。

工作组模式验证

在工作组模式中,用户是在 ZFSSA 本地定义的。当 SMB 客户机连接到处于工作组模式的 ZFSSA 时,将使用该用户的用户名和密码散列在本地对该用户进行验证。

当 ZFSSA 处于工作组模式时,将使用 LAN Manager (LM) 兼容性级别指定用于验证的协议。

下面的列表显示了每个 LM 兼容性级别的 ZFSSA 行为:

在成功验证工作组用户后,将建立安全上下文,并使用计算机 SID 和用户 UID 的组合为 ZFSSA 上定义的用户创建唯一的 SID。所有本地用户都定义为 UNIX 用户。

本地组和权限

本地组是向用户提供额外权限的域用户组。管理员可以绕过文件权限来更改文件的所有权。备份操作员可以绕过文件访问控制来备份和恢复文件。

通过 Microsoft 管理控制台 (Microsoft Management Console, MMC) 执行管理操作

为确保只有适当的用户有权执行管理操作,对于使用 MMC 远程执行的操作施加了一些访问限制。

下面的列表显示了不同用户以及允许其执行的操作:

病毒扫描

病毒扫描服务在文件系统级别扫描病毒。通过任何协议访问文件时,病毒扫描服务都会先扫描文件;如果发现病毒,就会拒绝访问并隔离文件。扫描由 ZFSSA 连接的外部引擎执行。外部引擎未包括在 ZFSSA 软件中。

使用最新的病毒定义扫描了文件之后,在下次修改文件之前不会再扫描该文件。病毒扫描主要是为可能会引入病毒的 SMB 客户机提供的。NFS 客户机也可以使用病毒扫描,但是由于 NFS 协议的工作方式,此类客户机无法像 SMB 客户机那样快速检测到病毒。

针对时序攻击的延迟引擎

SMB 没有实施任何延迟引擎来防止时序攻击。它依赖于 Solaris 加密框架。

传输中数据的加密

SMB 服务使用 SMB 协议的版本 1,它不支持传输中数据的加密。