Veritas NetBackup™ Appliance セキュリティガイド
- NetBackup Appliance セキュリティガイドについて
- ユーザー認証
- ユーザー権限の確認
- 侵入防止、侵入検知システム
- ログファイル
- オペレーティングシステムのセキュリティ
- データセキュリティ
- Web セキュリティ
- ネットワークセキュリティ
- コールホームセキュリティ
- リモート管理モジュール (RMM) セキュリティ
- STIG と FIPS への準拠
- 索引
推奨される IPMI 設定
このセクションでは、安全な IPMI 構成を確認するために推奨される IPMI 設定の一覧を示します。
IPMI ユーザーを作成する場合は、次の推奨事項を使用します。
Null ユーザー名またはパスワードでアカウントを作成しないでください。
管理ユーザーの数を 1 人に制限します。
匿名ユーザーを無効にします。
CVE-2013-4786 の脆弱性を緩和するには
オフライン辞書攻撃および総当り攻撃を防止するには強いパスワードを使用します。推奨されるパスワードの長さは 16 ~ 20 文字です。
できるだけ早期にデフォルトのユーザーパスワード (
sysadmin) を変更します。アクセス制御リスト (ACL) または隔離ネットワークを使って IPMI インターフェースへのアクセスを制限します。
IPMI プロトコル (CVE-2013-4786) に関連するセキュリティリスクを軽減するために、使用していない場合は IPMI プロトコルポート (623) をオフにしておきます。詳しくは、https://nvd.nist.gov/vuln/detail/CVE-2013-4786 を参照してください。
IPMI ユーザーにログイン設定を適用する場合は、次の推奨事項を使用します。
表: ログインセキュリティ設定
|
設定 |
推奨される値 |
|---|---|
|
ログイン試行に失敗しました |
3 |
|
ユーザーのロックアウト時間(最短) |
60 秒 |
|
強制 HTTPS |
はい (Yes) IPMI 接続が常に HTTPS を使用して行われるように[強制 HTTPS (Force HTTPS)]を有効にします。 |
|
Web セッションタイムアウト |
1800 |
BIOS バージョン 2.01.0010 以降を使用して更新された NetBackup Appliance モデル 5250、5340、5350 の場合、IPMI コンソールにログインすると次のメッセージが表示されます。
KCS Policy Control Mode is Allow All. This setting is intended for BMC provisioning and is considered insecure for deployment.
KCS ポリシー設定は、オペレーティングシステムレベルでの IPMI コマンドの帯域内アクセスのみに影響するため、このメッセージは無視しても問題ありません。これらのコマンドには、root レベルのユーザーのみがアクセスできます。このデフォルトのポリシー設定は、以前のベリタス製品リリースのものと一致します。
ベリタスは OpenLDAP で LDAP 認証を有効にすることをお勧めします。IPMI サブシステムは Active Directory と互換性がありません。
新規またはカスタム SSL 証明書をインポートすることを推奨します。
表: リモートセッションのセキュリティ設定
|
設定 |
推奨値 |
|---|---|
|
KVM 暗号化 |
Stunnel メモ: BMC ファームウェア 01.51.11142 の KVM 暗号化から、AES および RC4 アルゴリズムのサポートが削除されました。 |
|
メディア暗号化 |
有効 |
また、HTML5 を介した iKVM を使用して、アプライアンスのシェルメニューにログインすることもできます。
メモ:
HTML5 オプションは、ファームウェア (BIOS) バージョン 00.01.0016 以降がインストールされているアプライアンスでのみ利用できます。
IPMI ユーザーの認証なしの処理またはアクティビティを防止するには、特定の暗号化を無効にする必要があります。詳しい説明が必要な場合は、テクニカルサポートに連絡して、担当者に記事番号 000127964 について問い合わせます。
IPMI 専用のイーサネット接続を使用し、物理サーバー接続を共有しないようにします。
固定 IP を使用してください。
DHCP を使用しないでください。