2 安全安装

本章概述了安全安装的规划过程并介绍了建议的一些系统部署拓扑结构。

了解环境

要更好地了解安全需求，必须回答以下问题：

需要保护哪些资源？

您可以在生产环境中保护很多资源。确定要提供的安全级别时，请考虑要保护的资源的类型。

使用 Oracle HSM 时，将保护以下资源：

元数据和主数据磁盘: 这些磁盘资源用于构建 Oracle HSM 文件系统。通常，它们通过光纤通道 (Fibre Channel, FC) 连接。单独访问这些磁盘（不通过 Oracle HSM 方式）存在安全风险，因为这样做会绕过正常的 Oracle HSM 文件和目录权限。此种外部访问类型可能来自读取或写入 FC 磁盘的恶意系统，也可能来自意外提供对原始设备文件的非超级用户访问权限的内部系统。
Oracle HSM 磁带: 单独访问磁带（通常位于磁带库中，关闭 Oracle HSM 文件系统时会在其中写入文件数据）存在安全风险。
Oracle HSM 转储磁带: 通过 samfsdump 创建的文件系统转储包含数据和元数据。应加以保护以避免访问这些数据和元数据，系统管理员在例行转储或恢复活动期间访问它们除外。
Oracle HSM 元数据服务器 (metadata server, MDS): Oracle HSM 客户机需要通过 TCP/IP 访问 MDS。但是，请确保阻止外部 WAN 访问客户机。
配置文件和设置: 必须阻止管理员之外的人员访问 Oracle HSM 配置设置。通常，Oracle HSM 会在您使用管理器 GUI 时自动保护这些设置。请注意，使配置文件对非管理用户可写存在安全风险。

要避免资源被哪些用户访问？

通常，必须阻止已配置系统上的所有非超级用户或非管理员访问上一节中介绍的资源，也必须阻止可以通过 WAN 或 FC 结构访问这些资源的外部恶意系统来访问这些资源。

如果对战略资源的保护失败，将发生什么情况？

保护战略资源失败可能源于非正常访问（在没有正常 Oracle HSM POSIX 文件权限的情况下访问数据）和数据损坏（在没有正常权限的情况下写入磁盘或磁带）等。

建议的部署拓扑结构

本节介绍了如何安全地安装和配置基础结构组件。有关安装 Oracle HSM 的信息，请参见 Oracle Hierarchical Storage Manager 发行版 6.0 客户文档库，网址为：http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs

安装和配置 Oracle HSM 时请注意以下几点：

独立的元数据网络: 要将 Oracle HSM 客户机连接到 MDS 服务器，请提供一个独立的 TCP/IP 网络以及未连接到任何 WAN 的交换机硬件。由于元数据通信是通过使用 TCP/IP 实现的，因此，从理论上讲，可能会存在对此通信的外部攻击。配置独立的元数据网络不仅可以缓解此风险，还可以提高性能。提高性能是通过提供元数据的可靠数据路径来实现的。如果独立的元数据网络不可行，则至少拒绝从外部 WAN 和网络中任何不受信任的主机到 Oracle HSM 端口的通信。请参见限制关键服务的网络访问权限。
FC 区域划分: 使用 FC 区域划分可拒绝不需要访问 Oracle HSM 磁盘的任何服务器访问这些磁盘。最好使用独立的 FC 交换机，以便采用物理方式仅连接到需要访问磁盘的服务器。
保护 SAN 磁盘配置访问: 通常可通过 TCP/IP（更典型的是 HTTP）访问 SAN RAID 磁盘执行管理操作。您必须将对 SAN RAID 磁盘的管理访问权限仅限定于可信域中的系统，以阻止对磁盘的外部访问。此外，请更改磁盘阵列的默认密码。
安装 Oracle HSM 软件包: 首先，仅安装所需的软件包。例如，如果不需要分层存储管理，则仅安装 QFS 软件包。在不考虑此类更改所带来的安全隐患的情况下，完成安装之后，不应更改默认 Oracle HSM 文件和目录的权限以及属主。
客户机访问权限: 如果计划配置共享客户机，请在 hosts 文件中确定哪些客户机必须对文件系统具有访问权限。请参见 hosts.fs(4) 手册页。仅配置需要访问所配置的特定文件系统的那些主机。
强化 Oracle Solaris 元数据服务器: 有关强化 Oracle Solaris OS 的信息，请参见《Oracle Solaris 10 安全准则》和《Oracle Solaris 11 安全准则》。至少，选择一个较好的 root 用户密码，安装最新版本的 Oracle Solaris OS，并保持修补程序为最新，特别是安全修补程序。
强化 Linux 客户机: 查看 Linux 文档中有关如何强化 Linux 客户机的内容。至少，选择一个较好的 root 用户密码，安装最新版本的 Linux 操作系统，并保持修补程序为最新，特别是安全修补程序。
Oracle HSM 磁带安全: 防止从 Oracle HSM 外部对 Oracle HSM 磁带进行访问，或将此类访问权限限定于管理员。使用 FC 区域划分可将对磁带机的访问权限仅限定于 MDS（或者如果已配置了备份 MDS，则仅限定于潜在的 MDS）。要配置为使用分布式 I/O 的 Solaris 客户机需要访问磁带机。此外，通过仅为 root 用户授予权限来限制磁带设备文件的访问权限。在未经授权的情况下访问 Oracle HSM 磁带可能会危及用户数据安全或破坏用户数据。
备份: 使用 samfsdump 或 qfsdump 命令设置和执行 Oracle HSM 数据备份。像对 Oracle HSM 磁带所建议的那样，限制转储磁带的访问权限。

安装 SAM-Remote

有关安全地安装 SAM-Remote 软件的信息，请参见 Oracle Hierarchical Storage Manager and StorageTek QFS Software 发行版 6.0 客户文档库，网址为：http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs

安装管理器 GUI

有关安全地安装管理器 GUI 的信息，请参见 Oracle Hierarchical Storage Manager and StorageTek QFS Software 发行版 6.0 客户文档库，网址为：http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs

安装后配置

安装任意 Oracle HSM 软件包之后，执行附录 A 安全部署核对表中的安全核对表