本章概述了 Oracle Hierarchical Storage Manager and StorageTek QFS Software 产品并介绍了应用程序的一般安全原则。
Oracle Hierarchical Storage Manager and StorageTek QFS Software 是一个共享文件系统,带有一个分层存储管理器。该产品包含以下主要组件:
包括高性能 QFS 文件系统,可配置为独立文件系统或共享文件系统。配置为独立模式时,QFS 配置在单个系统上且没有共享客户机。QFS 使用标准 VFS vnode 操作与 Oracle Solaris 和 Linux 操作系统连接。
QFS 安装软件包包括 SUNWqfsr 和 SUNWqfsu。这两个软件包不包含 Oracle Hierarchical Storage Manager (HSM) 组件。
在没有任何共享客户机的情况下独立配置 QFS 可将安全风险降至最低。此配置并不运行守护进程,除光纤通道 (Fibre Channel, FC) 与磁盘的连接之外,不存在与磁盘的任何其他远程连接。配置共享 QFS 时,除了与磁盘的 FC 连接,还有客户机与元数据服务器 (metadata server, MDS) 之间的 TCP/IP 连接。
包括 QFS 文件系统以及运行 Oracle HSM 所需的代码。Oracle HSM 安装软件包包括 SUNWsamfsr 和 SUNWsamfsu。如果不需要分层存储管理,可仅安装 StorageTek QFS 软件包。
允许通过 TCP/IP 广域网 (Wide Area Network, WAN) 连接方式来访问远程磁带库和磁带机。StorageTek SAM-Remote 提供一种通过远程定位磁带设备来进行灾难恢复的方法。可以使用 QFS 软件包或 SAM-QFS 软件包安装 SAM-Remote,但您必须单独启用和配置 SAM-Remote。有关 SAM-Remote 的更多信息,请参见 Oracle Hierarchical Storage Manager and StorageTek QFS Software 软件发行版 6.0 客户文档库,网址为:http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs
管理器图形用户界面 (Graphical User Interface, GUI) fsmgr 在 MDS 上运行,可通过 Web 浏览器远程访问。通过端口 6789 (https://hostname:6789) 进行访问。
要使用 fsmgr,必须以有效用户身份登录到 MDS 并将某些角色添加到用户帐户中。有关安装和配置管理器 GUI 的信息,请参见 Oracle Hierarchical Storage Manager and StorageTek QFS Software 发行版 6.0 客户文档库,网址为:http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs
以下各节介绍了安全使用任何应用程序所需的基本原则。
使运行的 Oracle HSM 版本保持最新。可以在 Oracle Software Delivery Cloud (https://edelivery.oracle.com/) 找到软件的最新版本进行下载。
Oracle HSM 使用以下 TCP/IP 端口:
tcp/7105 用于客户机与 MDS 之间的元数据通信
tcp/1000 用于 SAM-Remote
tcp/6789 是 HTTP 端口,用于浏览器连接 fsmgr
tcp/5012 用于 sam-rpcd
注:
对于 MDS 双向客户机通信,请考虑设置未与外部 WAN 互连的独立网络。此配置可防止来自外部威胁的安全风险,还可以确保外部通信不限制 MDS 性能。授予用户或管理员完成要执行的任务所需的最小特权。管理器 GUI 具有可为用户授予的各种角色。这些角色可以授予不同类型和数量的特权。从命令行执行管理任务需要 root 用户权限。
有关使用管理器 GUI 的更多信息,请参见 Oracle Hierarchical Storage Manager and StorageTek QFS Software 发行版 6.0 客户文档库,网址为:http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs
监视系统活动以确定 Oracle HSM 的运行情况以及是否正在记录任何异常活动。检查以下日志文件:
/var/adm/messages
/var/opt/SUNWsamfs/sam-log
/var/opt/SUNWsamfs/archiver.log,请参见 /etc/opt/SUNWsamfs/archiver.cmd
/var/opt/SUNWsamfs/recycler.log,请参见 /etc/opt/SUNWsamfs/recycler.cmd
/var/opt/SUNWsamfs/releaser.log,请参见 /etc/opt/SUNWsamfs/releaser.cmd
/var/opt/SUNWsamfs/stager.log,请参见 /etc/opt/SUNWsamfs/stager.cmd
/var/opt/SUNWsamfs/trace/*
可以访问安全信息的多个源。有关各种软件产品的安全信息和警报,请访问 http://www.us-cert.gov。有关特定于 SAM-QFS 的信息,请访问 https://communities.oracle.com/portal/server.pt/community/sam_qfs_storage_archive_manager_and_sun_qfs/401。及时解决最新安全问题的主要方式是运行最新版本的 Oracle HSM 软件。