この章では、Oracle Hierarchical Storage Manager and StorageTek QFS Software 製品の概要と、アプリケーションのセキュリティーの一般的な原則について説明します。
Oracle Hierarchical Storage Manager and StorageTek QFS Software は、階層型ストレージマネージャーを備えた共有ファイルシステムです。この製品は、次の主要コンポーネントで構成されます。
スタンドアロンまたは共有として構成可能な高パフォーマンス QFS ファイルシステムが含まれます。スタンドアロンとして構成された場合、QFS は 1 つのシステム上に構成され、共有クライアントは含まれません。QFS は、標準の VFS vnode 操作を使用して、Oracle Solaris および Linux オペレーティングシステムとのインタフェースの役割を果たします。
QFS インストールパッケージは SUNWqfsr および SUNWqfsu です。これらのパッケージには、Oracle Hierarchical Storage Manager (HSM) コンポーネントは含まれません。
QFS をスタンドアロンとして構成し、共有クライアントが含まれない場合、セキュリティーエクスポージャーは最小限に抑えられます。この構成ではデーモンは実行されず、ファイバチャネル (FC) からディスクへの接続以外のリモート接続も存在しません。QFS を共有として構成した場合は、ディスクへの FC 接続、およびクライアントとメタデータサーバー (MDS) の間の TCP/IP 接続が含まれます。
QFS ファイルシステムと、Oracle HSM を実行するために必要なコードを含めます。Oracle HSM インストールパッケージは SUNWsamfsr および SUNWsamfsu です。階層型ストレージ管理が必要ない場合は、StorageTek QFS パッケージのみをインストールします。
TCP/IP 広域ネットワーク (WAN) 接続を使用した、リモートのテープライブラリおよびドライブへのアクセスを許可します。StorageTek SAM-Remote では、テープ設備をリモートに配置することによる障害回復の 1 つの形式が提供されます。SAM-Remote は QFS パッケージまたは SAM-QFS パッケージとともにインストールできますが、SAM-Remote は個別に有効にして構成する必要があります。SAM-Remote の詳細は、http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs にある Oracle Hierarchical Storage Manager and StorageTek QFS Software Release 6.0 お客様向けドキュメントライブラリを参照してください
Manager グラフィカルユーザーインタフェース (GUI) である fsmgr は MDS 上で実行され、Web ブラウザ経由でリモートからアクセスされます。アクセスは、ポート 6789 経由で付与されます (https://hostname:6789)。
fsmgr を使用するには、MDS 上の有効なユーザーとしてログインし、そのユーザーアカウントに特定の役割を追加する必要があります。Manager GUI のインストールおよび構成については、http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs にある Oracle Hierarchical Storage Manager and StorageTek QFS Software Release 6.0 お客様向けドキュメントライブラリを参照してください
以降のセクションでは、すべてのアプリケーションをセキュアに使用するために必要な基本原則について説明します。
実行する Oracle HSM のバージョンは最新の状態に維持してください。ソフトウェアの最新バージョンは、Oracle Software Delivery Cloud (https://edelivery.oracle.com/) からダウンロードできます。
Oracle HSM では次の TCP/IP ポートを使用します。
tcp/7105は、クライアントと MDS の間のメタデータトラフィックに使用されます
tcp/1000 は、SAM-Remote に使用されます
tcp/6789 は、ブラウザが fsmgr に接続するために使用される HTTP ポートです
tcp/5012 は、sam-rpcd に使用されます
注:
MDS クライアントの双方向のトラフィックのために、外部の WAN に相互接続されていない個別のネットワークを設定することを考慮してください。この構成によって、外部の脅威からのエクスポージャーが回避されるだけでなく、MDS のパフォーマンスが外部のトラフィックによって制限されることもなくなります。ユーザーまたは管理者には、実行されるタスクを達成するために必要な最小特権を付与してください。Manager GUI には、ユーザーに付与できるさまざまな役割があります。これらの役割では、さまざまなタイプと量の特権が付与されます。管理タスクをコマンド行から実行するには、root アクセス権が必要です。
Manager GUI の使用の詳細は、http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs にある Oracle Hierarchical Storage Manager and StorageTek QFS Software Release 6.0 お客様向けドキュメントライブラリを参照してください
システムアクティビティーをモニターして、Oracle HSM がどれだけ適切に動作しているか、および何らかの異常なアクティビティーがロギングされているかどうかを判断してください。次のログファイルを確認します:
/var/adm/messages
/var/opt/SUNWsamfs/sam-log
/var/opt/SUNWsamfs/archiver.log (/etc/opt/SUNWsamfs/archiver.cmd を参照)
/var/opt/SUNWsamfs/recycler.log (/etc/opt/SUNWsamfs/recycler.cmd を参照)
/var/opt/SUNWsamfs/releaser.log (/etc/opt/SUNWsamfs/releaser.cmd を参照)
/var/opt/SUNWsamfs/stager.log (/etc/opt/SUNWsamfs/stager.cmd を参照)
/var/opt/SUNWsamfs/trace/*
セキュリティー情報の複数のソースにアクセスできます。さまざまなソフトウェア製品のセキュリティー情報や警告については、http://www.us-cert.gov を参照してください。SAM-QFS に固有の情報については、https://communities.oracle.com/portal/server.pt/community/sam_qfs_storage_archive_manager_and_sun_qfs/401 を参照してください。最新のセキュリティー情報を維持するための主な方法は、Oracle HSM ソフトウェアの最新のバージョンの実行です。