Veritas NetBackup™ Appliance セキュリティガイド

Last Published:
Product(s): Appliances (5.0)
Platform: NetBackup Appliance OS
  1. NetBackup Appliance セキュリティガイドについて
    1.  
      NetBackup Appliance セキュリティガイドについて
  2. ユーザー認証
    1. NetBackup Appliance のユーザー認証について
      1.  
        NetBackup アプライアンスで認証できるユーザーの種類
    2. ユーザー認証の設定について
      1.  
        一般的なユーザー認証ガイドライン
    3.  
      LDAP ユーザーの認証について
    4.  
      Active Directory ユーザーの認証について
    5.  
      Kerberos-NIS ユーザーの認証について
    6. スマートカードとデジタル証明書を使用した認証について
      1.  
        2FA
      2.  
        NetBackup Web UI でのスマートカード認証
      3.  
        NetBackup Appliance Web UI でのスマートカード認証
      4.  
        役割ベースのアクセス制御の構成
      5.  
        NetBackup Web UI でのスマートカードまたはデジタル証明書の認証の構成
    7.  
      アプライアンスのログインバナーについて
    8. ユーザー名とパスワードの仕様について
      1.  
        STIG 準拠パスワードポリシールールについて
  3. ユーザー権限の確認
    1.  
      NetBackup Appliance におけるユーザー認可について
    2. NetBackup Appliance ユーザーの認可について
      1.  
        NetBackup Appliance ユーザー役割権限
    3.  
      管理者ユーザーのロールについて
    4.  
      NetBackupCLI ユーザーの役割について
    5.  
      NetBackup でのユーザー権限の確認について
  4. 侵入防止、侵入検知システム
    1.  
      NetBackup Appliance の Symantec Data Center Security について
    2.  
      NetBackup Appliance の侵入防止システムについて
    3.  
      NetBackup Appliance の侵入検知システムについて
    4.  
      NetBackup アプライアンスの SDCS イベントの見直し
    5.  
      NetBackup アプライアンスでのアンマネージモードでの SDCS の実行
    6.  
      NetBackup アプライアンスでのマネージモードでの SDCS の実行
  5. ログファイル
    1.  
      NetBackup Appliance のログファイルについて
    2.  
      Support コマンドの使用によるログファイルの表示
    3.  
      Browse コマンドを使用した NetBackup Appliance ログファイルの参照場所
    4.  
      NetBackup Appliance でのデバイスログの収集
    5.  
      ログ転送機能の概要
  6. オペレーティングシステムのセキュリティ
    1.  
      NetBackup Appliance のオペレーティングシステムのセキュリティについて
    2.  
      NetBackup Appliance の OS の主要コンポーネント
    3.  
      NetBackup Appliance オペレーティングシステムへのユーザーアクセスの無効化
    4.  
      メンテナンスシェルへのサポートのアクセスの管理
  7. データセキュリティ
    1.  
      データセキュリティについて
    2.  
      データ整合性について
    3.  
      データの分類について
    4. データの暗号化について
      1.  
        KMS サポート
  8. Web セキュリティ
    1.  
      SSL の使用について
    2.  
      ECA 証明書の実装について
  9. ネットワークセキュリティ
    1.  
      IPsec チャネル設定について
    2.  
      NetBackup Appliance ポートについて
    3.  
      NetBackup Appliance ファイアウォールについて
  10. コールホームセキュリティ
    1. AutoSupport について
      1.  
        データセキュリティ基準
    2. コールホームについて
      1.  
        NetBackup Appliance シェルメニューからのコールホームの構成
      2.  
        アプライアンスシェルメニューからのコールホームの有効化と無効化
      3.  
        NetBackup Appliance シェルメニューからのコールホームプロキシサーバーの構成
      4.  
        コールホームワークフローの理解
    3. SNMP について
      1.  
        Management Information Base (MIB) について
  11. リモート管理モジュール (RMM) セキュリティ
    1.  
      IPMI 設定の紹介
    2.  
      推奨される IPMI 設定
    3.  
      RMM ポート
    4.  
      リモート管理モジュールでの SSH の有効化
    5.  
      デフォルトの IPMI SSL 証明書の置換
  12. STIG と FIPS への準拠
    1.  
      NetBackup Appliance の OS STIG の強化
    2.  
      NetBackup Appliance における FIPS 140-2 への準拠
    3.  
      FIPS 準拠の暗号について
  13. 付録 A. セキュリティのリリース内容
    1.  
      NetBackup Appliance のセキュリティリリース内容
  14.  
    索引

デフォルトの IPMI SSL 証明書の置換

IPMI Web インターフェースにアクセスするために使うデフォルトの IPMI SSL 証明書を信頼できる内部または外部の認証局 (PEM 形式)、または自己署名証明書により署名された証明書に置換することを推奨します。 次の手順で、Linux コンピュータで最小限の自己署名証明書を作成して IPMI Web インターフェースにインポートできます。

Linux コンピュータに最小限の自己署名証明書を作成して IPMI Web インターフェースにインポートするには、次の操作をします。

  1. 次のコマンドを実行して ipmi.key と呼ばれるプライベートキーを生成します。
    $ openssl genrsa -out ipmi.key 2048
	
Generating RSA private key, 2048 bit long modulus
	
.....+++

	.+++

	e is 65537 (0x10001)
  2. 各フィールドに適切な値を入力して次のように、ipmi.key を使って ipmi.csr という証明書の署名要求を生成します。

    メモ:

    ブラウザに余分な警告が表示されないようにするには、CN を IPMI インターフェースの完全修飾ドメイン名に設定します。入力するのは識別名(DN)と呼ばれる名前です。

    $ openssl req -new -key ipmi.key -out ipmi.csr

    次のガイドラインを参照して、証明書要求に入れる情報を入力します。

    国名(2 文字のコード)[AU]:

    国の名前を入力します。たとえば、US。

    都道府県名(省略しない)[Some-State]:

    都道府県の名前を入力します。たとえば、OR。

    地域名(たとえば、市区町村)[]:

    地域名を入力します。たとえば、Springfield。

    組織名(たとえば、会社)[Internet Widgits Pty Ltd]:

    組織の名前を入力します。たとえば Veritas です。

    組織単位名(たとえば、部署)[]:

    組織単位の名前を入力します。

    共通名(たとえば、自社名)[]:

    hostname.your.company と入力します。

    電子メールアドレス []:

    電子メールアドレスを入力します。たとえば、email@your.company

    チャレンジパスワード []:

    適切なチャレンジパスワード(証明書要求と共に送信する追加属性)を入力します。

    会社名(省略可能) []:

    適切な会社名(証明書要求と共に送信する追加属性)を入力します(省略可能)。

    メモ:

    フィールドを空白のままにするには「.」と入力します。

  3. ipmi.keyipmi.csr に署名し、次のように 1 年間有効な ipmi.crt と呼ばれる証明書を作成します。
    $ openssl x509 -req -in ipmi.csr 

-out ipmi.crt -signkey ipmi.key 

-days 365

	Signature ok

	subject=/C=US/ST=OR/L=Springfield

/O=Veritas/OU=Your OU/

CN=hostname.your.company/

emailAddress=email@your.company
	

Getting Private key
  4. ipmi.crtipmi.key を連結して ipmi.pem と呼ばれる証明書を PEM 形式で作成します。
    $ cat ipmi.crt ipmi.key > ipmi.pem
  5. アプライアンスの IPMI Web インターフェースにアクセスできるホストに ipmi.pem をコピーします。
  6. ベリタスリモート管理 (IPMI Web インターフェース) にログインします。
  7. [設定 (Settings)] > [SSL]をクリックします。

    アプライアンスに[SSL のアップロード (SSL Upload)]ページが表示されます。

  8. 証明書をインポートするには[SSL のアップロード (SSL Upload)]ページで[ファイルを選択 (Choose File)]をクリックします。
  9. ipmi.pem を選択して[アップロード (Upload)]をクリックします。
  10. SSL 証明書がすでに存在することを示す警告が表示されることがあります。続行するには[OK]をクリックします。
  11. キーをインポートするには、再び[ファイルを選択 (Choose File)]をクリックします(このボタンの隣には[新しいプライバシーキー (New Privacy Key)]があります)。
  12. ipmi.pem を選択して[アップロード (Upload)]をクリックします。
  13. 証明書とキーを正常にアップロードしたことを示す確認メッセージが表示されたら、[OK]をクリックして Web サービスを再起動します。
  14. ベリタスリモート管理インターフェース (IPMI Web インターフェース) を閉じてから再び開いて、新しい証明書が存在していることを確認します。