Go to main content
Oracle® ZFS Storage Appliance 顧客サービスマニュアル

印刷ビューの終了

更新: 2017 年 3 月
 
 

構成バックアップに関するセキュリティー上の考慮事項

構成バックアップには、通常はアプライアンス上の root 管理ユーザーしかアクセスできない情報が含まれています。そのため、承認されていないユーザーがバックアップファイルを読み取れないようにするために、別のシステムまたはファイルシステムのシェアにエクスポートされたすべての構成バックアップにバックアップファイルへのセキュリティー制限を適用する必要があります。

ローカルユーザーのパスワードは、平文としてではなく、暗号化 (ハッシュ) された形式でバックアップファイル内に格納されます。ただし、ディクショナリ攻撃への入力として使用される可能性があるため、システム上ではこれらのパスワードハッシュへのアクセスが制限されています。そのため、管理者はバックアップへのファイルアクセスを制限するか、またはバックアップファイル全体に暗号化の追加の層を適用するか、あるいはその両方を行うことによって、エクスポートされる構成バックアップを慎重に保護する必要があります。

ディレクトリユーザーのパスワードは、アプライアンス内に格納されされないため、構成バックアップには格納されません。管理ユーザーのアクセスのために LDAP や AD などのディレクトリサービスを配備している場合、ディレクトリユーザーのディレクトリサービスパスワードハッシュのコピーは構成バックアップ内に格納されていません。ディレクトリユーザーのユーザー名、ユーザー ID、プリファレンス、および承認設定のみがバックアップ内に格納され、そのあと復元されます。

構成の復元のあと、ローカル root 管理ユーザーのパスワードは、バックアップの時点での root パスワードに変更されません。root パスワードは、復元プロセスを実行している (したがって、そのパスワードを使用してログインしている) 管理者によって使用されているパスワードが保持されるように、そのまま残され、復元プロセスによって変更されません。管理者の意図が構成の復元の時点で root パスワードも変更することであった場合でも、その手順は復元のあとに、通常の管理パスワード変更手順を使用して手動で実行する必要があります。