Veritas NetBackup™ Appliance セキュリティガイド
- NetBackup appliance セキュリティガイドについて
- ユーザー認証
- ユーザー権限の確認
- 侵入防止、侵入検知システム
- NetBackup appliance の Symantec Data Center Security について
- NetBackup appliance の侵入防止システムについて
- NetBackup appliance の侵入検知システムについて
- NetBackup アプライアンスの SDCS イベントの見直し
- NetBackup アプライアンスでのアンマネージモードでの SDCS の実行
- NetBackup アプライアンスでのマネージモードでの SDCS の実行
- NetBackup appliance の侵入防止システムポリシーの上書き
- NetBackup appliance の侵入防止システムポリシーの再有効化
- ログファイル
- オペレーティングシステムのセキュリティ
- データセキュリティ
- Web セキュリティ
- ネットワークセキュリティ
- コールホームセキュリティ
- IPMI セキュリティ
- STIG と FIPS への準拠
- 付録 A. セキュリティのリリース内容
ユーザー名とパスワードの仕様について
NetBackup appliance のユーザーアカウントのユーザー名は選択された認証システムが受け入れる形式である必要があります。 表: ユーザー名の仕様 に、ユーザーの種類ごとのユーザー名指定を示します。
メモ:
Manage > NetBackupCLI > Create コマンドを使って、NetBackupCLI ロールを持つローカルユーザーを作成します。すべてのローカルユーザーとパスワードの仕様はこれらのユーザーに適用されます。
表: ユーザー名の仕様
説明 | 管理者(ローカルユーザー) | NetBackupCLI (ローカルユーザー) | 登録済みのリモートユーザー |
|---|---|---|---|
最大長 | 適用される制限なし | 適用される制限なし | LDAP、AD、NIS ポリシーによって判断 |
最小長 | 2 文字 | 2 文字 | LDAP、AD、NIS ポリシーによって判断 |
制限 | ユーザー名の先頭に次のものを指定することはできません。
| ユーザー名の先頭に次のものを指定することはできません。
| LDAP、AD、NIS ポリシーによって判断 |
スペースの包含 | ユーザー名にスペースを含めることはできません。 | ユーザー名にスペースを含めることはできません。 | LDAP、AD、NIS ポリシーによって判断 |
NetBackup appliance パスワードポリシーはアプライアンスのセキュリティを高めるために更新されました。 アプライアンスのユーザーアカウントのパスワードは選択された認証システムが受け入れる形式である必要があります。表: パスワードの仕様 は、各ユーザー形式のパスワードの仕様の一覧を表示します。
表: パスワードの仕様
説明 | 管理者(ローカルユーザー) | NetBackupCLI (ローカルユーザー) | 登録済みのリモートユーザー |
|---|---|---|---|
最大長 | 適用される制限なし | 適用される制限なし | LDAP、AD、NIS ポリシーによって判断 |
最小長 | パスワードは少なくとも 8 文字にする必要があります。 | パスワードは少なくとも 8 文字にする必要があります。 | LDAP、AD、NIS ポリシーによって判断 |
必要条件 |
|
| LDAP、AD、NIS ポリシーによって判断 |
スペースの包含 | パスワードにスペースを含めることはできません。 | パスワードにスペースを含めることはできません。 | LDAP、AD、NIS ポリシーによって判断 |
パスワードの最短期限 | 0 日 | 0 日 メモ: NetBackup Appliance Shell Menuの Manage > NetBackupCLI > PasswordExpiry コマンドを使って、ユーザーパスワード保存期間を管理できます。 詳しくは、『NetBackup Appliance コマンドリファレンスガイド』を参照してください。 | LDAP、AD、NIS ポリシーによって判断 |
パスワードの最長期限 | 99999 日(期限切れになりません) | 99999 日(期限切れになりません) | LDAP、AD、NIS ポリシーによって判断 |
パスワード履歴 | 過去 7 回分のパスワードは再利用できません。以前のパスワードに類似する新しいパスワードも使えません。 | 過去 7 回分のパスワードは再利用できません。以前のパスワードに類似する新しいパスワードも使えません。 | LDAP、AD、NIS ポリシーによって判断 |
パスワード有効期限 | パスワードの期限が切れませんので、適用されません | Manage > NetBackupCLI > PasswordExpiry コマンドを使って、NetBackupCLI ユーザーパスワードを管理します。 | LDAP、AD、NIS ポリシーによって判断 |
パスワードロックアウト | なし | なし | LDAP、AD、NIS ポリシーによって判断 |
ロックアウトの期間 | なし | なし | LDAP、AD、NIS ポリシーによって判断 |
メモ:
アプライアンス環境のセキュリティを強化するには、アプライアンスに初回ログイン時にデフォルトの admin と maintenance のアカウントパスワードを変更することをお勧めします。NetBackup Appliance Web Consoleの[設定(Settings)] > [パスワード(Password)]ページまたは NetBackup Appliance Shell Menuの Settings > Password コマンドを使って、パスワードを変更できます。
警告:
NetBackup appliance では、passwd などのコマンドを使ったメンテナンスアカウントのパスワードの設定をサポートしていません。この方法で設定されるパスワードは、システムがアップグレードされると、上書きされます。 NetBackup Appliance Shell Menuを使ってメンテナンスのアカウントパスワードを変更してください。
NetBackup appliance では、次のパスワード保護対策を導入しています。
NetBackup アプライアンスのソフトウェアバージョン 2.6.1.1 以降では、SHA-512 ハッシュアルゴリズムを使用して、お客様がアクセス可能なすべてのローカルアプライアンスのユーザー (ローカルユーザー、NetBackupCLI のユーザー、管理者ユーザー、メンテナンスユーザー) のパスワードを保護します。新しいローカルアプライアンスユーザーを作成する場合、または既存のローカルアプライアンスユーザーのパスワードを変更する場合、必ず SHA-512 を使ってパスワードがハッシュ化されます。
メモ:
2.6.1.1 より前は、アプライアンスは SHA-512、SHA-256、Blowfish を含む多様なデフォルトのパスワードハッシュアルゴリズムを使用していました。2.6.1.1 以降のバージョンにアップグレードする場合、新しいデフォルトは SHA-512 になりますが、既存のパスワードハッシュも保持されます。以前のアルゴリズムが機能し、その安全が引き続き保障される場合も、すべてのローカルアプライアンスユーザーが新しいデフォルトを使うように、NetBackup アプライアンスソフトウェアのバージョン 2.6.1.1 以降へのアップグレード後に、最終的にすべてのローカルアプライアンスユーザーのパスワードを変更することをお勧めします。
パスワード履歴は 7 に設定されているため、過去 7 個までの古いパスワードが保護され、ログに記録されます。新しいパスワードとして古いパスワードを使用しようとすると、アプライアンスにはトークン操作エラーが表示されます。
送信中のパスワードには、以下が含まれています。
パスワードが SSH プロトコルによって保護されている場所での SSH ログイン。
HTTPS 通信によってパスワードが保護されている場所での NetBackup Appliance Web Consoleログイン。
パスワードについて詳しくは、『NetBackup Appliance 管理者ガイド』を参照してください。