NetBackup™ 安全和加密指南

Last Published:
Product(s): NetBackup & Alta Data Protection (10.5.0.1)
  1. NetBackup 安全通信前必读
    1.  
      关于 NetBackup 中的安全通信
    2.  
      如何在安装过程中部署 NetBackup CA 签名证书(或基于主机 ID 的证书)
    3.  
      如何与主服务器群集节点进行安全通信
    4.  
      关于在群集应用程序节点上安装的 NetBackup 客户端
    5.  
      如何在升级过程中将 NetBackup 证书部署到主机
    6.  
      证书部署过程中何时需要授权令牌
    7.  
      为何需要将主机名(或 IP 地址)映射到主机 ID
    8.  
      如何重置主机属性或主机通信状态
    9.  
      目录库恢复方面发生的更改
    10.  
      自动映像同步复制发生的更改
    11.  
      具有已吊销证书的主机如何工作
    12.  
      是否对 NetBackup 证书进行备份
    13.  
      是否可以为主服务器配置外部证书
    14.  
      如何使用外部证书与主服务器群集节点进行安全通信
    15.  
      外部证书吊销列表的工作原理
    16.  
      当主机无法直接连接到主服务器时如何进行通信
    17.  
      NetBackup 8.1 或更高版本主机如何与 NetBackup 8.0 及更早版本主机通信
    18.  
      如何在云配置中与旧式介质服务器通信
    19. 通信失败情形
      1.  
        在与 8.0 或更早版本主机的通信期间失败
      2.  
        目录库备份失败
    20.  
      对 NetBackup 域中其他主机的安全通信支持
    21.  
      针对 BMR 的安全通信支持
    22.  
      配置用于保护 SQL Server 的 VMware 备份以及使用多个 NIC 的 SQL Server 备份
  2. NetBackup 安全不断提高
    1.  
      关于 NetBackup 安全和加密
    2.  
      NetBackup 安全实现级别
    3.  
      全球级别安全
    4.  
      企业级别安全
    5.  
      数据中心级别安全概述
    6.  
      NetBackup Access Control (NBAC)
    7.  
      全球、企业和数据中心组合级别
    8.  
      NetBackup 安全实现类型
    9.  
      操作系统安全
    10.  
      NetBackup 安全漏洞
    11.  
      标准 NetBackup 安全
    12.  
      客户端加密安全
    13.  
      主服务器、介质服务器和图形用户界面上具备 NBAC 的安全
    14.  
      NBAC 完整安全
  3. 安全部署模型
    1.  
      工作组
    2.  
      单数据中心
    3.  
      多数据中心
    4.  
      采用 NetBackup 的工作组
    5.  
      具备标准 NetBackup 的单数据中心
    6.  
      具备客户端加密的单数据中心
    7.  
      在主服务器和介质服务器上使用 NBAC 的单数据中心
    8.  
      具备 NBAC 完整功能的单数据中心
    9.  
      具备标准 NetBackup 的多数据中心
    10.  
      具备客户端加密的多数据中心
    11.  
      在主服务器和介质服务器上使用 NBAC 的多数据中心
    12.  
      具备 NBAC 完整功能的多数据中心
  4. 审核 NetBackup 操作
    1.  
      关于 NetBackup 审核
    2.  
      查看当前审核设置
    3. 关于审核事件
      1.  
        查看审核事件
      2.  
        与“访问历史记录”选项卡相关的审核问题故障排除
    4.  
      审核记录的审核保留期限和目录库备份
    5.  
      查看详细的 NetBackup 审核报告
    6.  
      审核报告中的用户身份
    7.  
      禁用审核
    8.  
      审核失败的审核警报通知(NetBackup 管理控制台)
    9.  
      将审核事件发送到系统日志
    10.  
      NetBackup 主服务器的 SYSLOG_AUDIT_USE_OCSF_FORMAT
  5. 第 I 部分. 身份信息和访问管理
    1. 关于身份信息和访问管理
      1.  
        关于 NetBackup 中的访问控制
    2. AD 和 LDAP 域
      1.  
        在 NetBackup 中添加 AD 或 LDAP 域
      2.  
        对 AD 或 LDAP 域配置问题进行故障排除
      3.  
        NetBackup Authentication Service 信任的证书颁发机构
    3. 访问密钥
      1.  
        访问密钥
      2.  
        访问代码
      3.  
        通过 Web UI 身份验证请求 CLI 访问权限
      4.  
        批准另一个用户的 CLI 访问请求
      5.  
        编辑命令行访问的设置
    4. API 密钥
      1.  
        关于 API 密钥
      2.  
        创建 API 密钥
      3.  
        管理 API 密钥
      4. 使用 API 密钥
        1.  
          设置 API 密钥环境变量以运行 NetBackup 命令
    5. Auth.conf 文件
      1.  
        授权文件 (auth.conf) 的特征
    6. 基于角色的访问控制
      1.  
        RBAC 功能
      2.  
        RBAC 设置
      3.  
        配置 RBAC
      4.  
        角色权限
      5.  
        使用 NetBackup RBAC 的注意事项
      6.  
        添加 AD 或 LDAP 域
      7. 默认 RBAC 角色
        1.  
          为 PaaS 管理员添加自定义 RBAC 角色
        2.  
          添加自定义 RBAC 角色以还原 Azure 管理的实例
      8.  
        添加自定义 RBAC 角色
      9.  
        编辑或删除自定义角色
      10.  
        查看 RBAC 中的用户
      11.  
        将用户添加到角色(非 SAML)
      12.  
        将智能卡用户添加到角色(非 SAML,无 AD/LDAP)
      13.  
        将用户添加到角色 (SAML)
      14.  
        从角色中删除用户
    7. 操作系统管理员的 NetBackup 界面访问权限
      1.  
        禁用操作系统 (OS) 管理员的命令行 (CLI) 访问权限
      2.  
        禁用操作系统 (OS) 管理员的 Web UI 访问权限
    8. 智能卡或数字证书
      1.  
        使用智能卡或数字证书配置用户身份验证
      2.  
        使用域配置智能卡身份验证
      3.  
        无域的情况下配置智能卡身份验证
      4.  
        编辑智能卡身份验证的配置
      5.  
        添加或删除用于智能卡身份验证的 CA 证书
      6.  
        禁用或临时禁用智能卡身份验证
    9. 单点登录 (SSO)
      1.  
        关于单点登录 (SSO) 配置
      2. 配置 NetBackup 以进行单点登录 (SSO)
        1.  
          配置 SAML KeyStore
        2.  
          配置 SAML keystore 以及添加并启用 IDP 配置
        3.  
          在 IDP 中注册 NetBackup 主服务器
        4.  
          管理 IDP 配置
    10. NetBackup Access Control (NBAC) 安全
      1.  
        关于使用 NetBackup Access Control (NBAC)
      2.  
        对 NetBackup 访问管理的管理
      3.  
        关于 NetBackup Access Control (NBAC) 配置
      4. 配置 NetBackup Access Control (NBAC)
        1.  
          NBAC 配置概述
        2.  
          在独立主服务器上配置 NetBackup Access Control (NBAC)
        3.  
          安装在群集中具有高可用性的 NetBackup 主服务器
        4.  
          在群集主服务器上配置 NetBackup Access Control (NBAC)
        5.  
          在介质服务器上配置 NetBackup Access Control (NBAC)
        6.  
          在客户端上安装和配置 Access Control (
        7.  
          关于在 NetBackup 目录库热备份中包括身份验证和授权数据库
        8.  
          NBAC 配置命令汇总
        9.  
          使用 setuptrust 命令统一 NetBackup 管理基础架构
        10.  
          使用 setuptrust 命令
      5. 配置主服务器和介质服务器的“访问控制”主机属性
        1.  
          “身份验证域”选项卡
        2.  
          “授权服务”选项卡
        3.  
          “网络属性”选项卡
      6. 客户端的访问控制主机属性对话框
        1.  
          客户端的“身份验证域”选项卡
        2.  
          客户端的“网络属性”选项卡
      7.  
        将 NetBackup Access Control (NBAC) 用于自动映像复制
      8. 故障排除访问管理
        1.  
          对 NBAC 问题进行故障排除
        2.  
          NetBackup Authentication and Authorization 的配置和故障排除提示
        3. Windows 验证点
          1.  
            Windows 的主服务器验证点
          2.  
            Windows 的介质服务器验证点
          3.  
            Windows 的客户端验证点
        4. UNIX 验证点
          1.  
            UNIX 主服务器验证
          2.  
            UNIX 介质服务器验证
          3.  
            UNIX 客户端验证
        5. 在包含 UNIX 主服务器的混合环境中的验证点
          1.  
            混合 UNIX 主服务器的主服务器验证点
          2.  
            混合 UNIX 主服务器的介质服务器验证点
          3.  
            混合 UNIX 主服务器的客户端验证点
        6. 在包含 Windows 主服务器的混合环境中的验证点
          1.  
            混合 Windows 主服务器的主服务器验证点
          2.  
            混合 Windows 主服务器的介质服务器验证点
          3.  
            混合 Windows 主服务器的客户端验证点
        7.  
          关于 nbac_cron 实用程序
        8.  
          使用 nbac_cron 实用程序
      9.  
        使用访问管理实用程序
      10. 关于确定谁可以访问 NetBackup
        1.  
          单个用户
        2.  
          用户组
        3.  
          NetBackup 默认用户组
        4. 配置用户组
          1.  
            创建新用户组
          2.  
            通过复制现有用户组创建新用户组
          3.  
            重命名用户组
          4.  
            向用户组添加新用户
        5. 关于定义用户组和用户
          1.  
            以新用户身份登录
          2.  
            将用户分配给用户组
          3.  
            关于授权对象和权限
      11. 查看 NetBackup 用户组的特定用户权限
        1.  
          授予权限
        2.  
          授权对象
        3.  
          介质授权对象权限
        4.  
          策略授权对象权限
        5.  
          驱动器授权对象权限
        6.  
          报告授权对象权限
        7.  
          NBU_Catalog 授权对象权限
        8.  
          机械手授权对象权限
        9.  
          存储单元授权对象权限
        10.  
          磁盘池授权对象权限
        11.  
          备份和还原授权对象权限
        12.  
          作业授权对象权限
        13.  
          服务授权对象权限
        14.  
          主机属性授权对象权限
        15.  
          许可证授权对象权限
        16.  
          卷组授权对象权限
        17.  
          卷池授权对象权限
        18.  
          设备主机授权对象权限
        19.  
          安全授权对象权限
        20.  
          胖服务器授权对象权限
        21.  
          胖客户端授权对象权限
        22.  
          保管库授权对象权限
        23.  
          服务器组授权对象权限
        24.  
          密钥管理系统 (kms) 组授权对象权限
      12.  
        升级 NetBackup Access Control (NBAC)
      13.  
        使用带 NBAC 的更改服务器时的配置要求
  6. 将安全配置风险降至最低
    1.  
      关于安全配置风险
    2.  
      将风险降至最低需要配置的安全设置
    3.  
      将当前状况设置为安全基准
  7. 配置多重身份验证
    1.  
      关于多重身份验证
    2.  
      为用户帐户配置多重身份验证
    3.  
      为用户帐户禁用多重身份验证
    4.  
      对所有用户强制执行多重身份验证
    5.  
      在域中强制执行多重身份验证时,为用户帐户配置多重身份验证
    6.  
      为用户重置多重身份验证
  8. 配置多人授权
    1.  
      关于多人授权
    2.  
      为 NetBackup 操作配置多人授权的工作流程
    3.  
      多人授权的 RBAC 角色和权限
    4.  
      与角色相关的多人授权流程
    5.  
      需要多人授权的 NetBackup 操作
    6.  
      配置多人授权
    7.  
      查看多人授权票证
    8.  
      管理多人授权票证
    9.  
      添加已豁免的用户
    10.  
      计划多人授权票证的有效期和清除期限
    11.  
      禁用多人授权
  9. 第 II 部分. 传输中数据加密
    1. NetBackup CA 和 NetBackup 证书
      1.  
        NetBackup 中的安全证书概述
      2.  
        关于 NetBackup 中的安全通信
      3. 关于安全管理实用程序
        1.  
          关于登录活动
      4. 有关主机管理
        1.  
          “主机”选项卡
        2.  
          添加主机 ID-主机名映射
        3.  
          “添加或删除主机映射”对话框
        4.  
          删除主机 ID-主机名映射
        5.  
          “待批准映射”选项卡
        6.  
          查看自动发现的映射
        7.  
          “映射详细信息”对话框
        8.  
          批准主机 ID-主机名映射
        9.  
          拒绝主机 ID-主机名映射
        10. 添加共享或群集映射
          1.  
            关于共享或群集映射场景
        11.  
          “添加共享或群集映射”对话框
        12.  
          重置 NetBackup 主机属性
        13. 允许或不允许自动重新发布证书
          1.  
            配置主机 autoreissue 参数的有效期
        14.  
          添加或删除主机的注释
      5. 关于全局安全设置
        1.  
          关于安全通信设置
        2.  
          禁用不安全通信
        3.  
          关于与 8.0 及早期版本主机的不安全通信
        4.  
          关于与多个 NetBackup 域中的 8.0 或更低版本主机进行通信
        5.  
          自动将主机 ID 映射到主机名称和 IP 地址
        6.  
          关于灾难恢复设置
        7.  
          灾难恢复软件包
        8.  
          设置密码以加密灾难恢复软件包
        9.  
          验证灾难恢复软件包密码
      6. 关于基于主机名的证书
        1.  
          部署基于主机名的证书
      7. 关于基于主机 ID 的证书
        1.  
          nbcertcmd 命令选项的 Web 登录要求
        2. 使用证书管理实用程序发布并部署基于主机 ID 的证书
          1.  
            查看基于主机 ID 的证书的详细信息
        3. 关于 NetBackup 证书部署安全级别
          1.  
            配置证书部署安全级别
        4.  
          自动部署基于主机 ID 的证书
        5.  
          管理用于对基于主机 ID 的证书私钥加密的密码和密码密钥
        6.  
          部署基于主机 ID 的证书
        7.  
          以异步方式部署基于主机 ID 的证书
        8.  
          证书有效期时钟偏差的含义
        9. 建立与主服务器(证书颁发机构)的信任关系
          1.  
            查找和传递证书颁发机构的指纹
        10.  
          强制或重写证书部署
        11.  
          在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
        12.  
          在未连接主服务器的客户端上部署证书
        13.  
          关于基于主机 ID 的证书截止日期和续订
        14.  
          从介质服务器和客户端删除敏感证书和密钥
        15.  
          从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
        16. 关于重新颁发基于主机 ID 的证书
          1.  
            创建重新发布令牌
          2.  
            更改主机密钥对
      8. 关于基于主机 ID 的证书的令牌管理
        1.  
          创建授权令牌
        2.  
          删除授权令牌
        3.  
          查看授权令牌详细信息
        4.  
          关于过期授权令牌和清理
      9. 关于基于主机 ID 的证书吊销列表
        1.  
          在主服务器上刷新 CRL
        2.  
          在 NetBackup 主机上刷新 CRL
      10. 关于吊销基于主机 ID 的证书
        1.  
          删除主机与主服务器之间的信任关系
        2.  
          吊销基于主机 ID 的证书
        3.  
          确定 NetBackup 主机的证书状态
        4.  
          获取已吊销证书的 NetBackup 主机的列表
      11.  
        删除基于主机 ID 的证书
      12. 群集设置中基于主机 ID 的证书部署
        1. 关于在群集 NetBackup 主机上部署基于主机 ID 的证书
          1.  
            在活动主服务器节点上部署基于主机 ID 的证书
          2.  
            在非活动主服务器节点上部署基于主机 ID 的证书
        2.  
          在群集节点上部署基于主机 ID 的证书
        3.  
          吊销群集 NetBackup 设置的基于主机 ID 的证书
        4.  
          使用重新发布令牌在群集 NetBackup 设置上部署基于主机 ID 的证书
        5.  
          为群集 NetBackup 设置创建重新发布令牌
        6.  
          在群集 NetBackup 设置上续订基于主机 ID 的证书
        7.  
          查看群集 NetBackup 设置的证书详细信息
        8.  
          从群集 NetBackup 设置中删除认证机构证书
        9.  
          灾难恢复安装后在群集主服务器上生成证书
      13.  
        关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
      14.  
        手动添加 NetBackup 主机
      15. 迁移 NetBackup CA
        1.  
          安装或升级之前使用 NB_KEYSIZE 环境变量设置所需的密钥强度
        2.  
          整个 NetBackup 域升级时迁移 NetBackup CA
        3.  
          安装或升级后手动迁移 NetBackup CA
        4.  
          在 CA 迁移后与未安装新 CA 证书的客户端建立通信
        5.  
          查看域中的 NetBackup CA 列表
        6.  
          查看 CA 迁移摘要
        7.  
          停用不活动的 NetBackup CA
    2. 配置传输中数据加密 (DTE)
      1.  
        关于数据通道
      2.  
        传输中数据加密支持
      3.  
        用于配置传输中数据加密的工作流程
      4.  
        配置全局传输中数据加密设置
      5. 在客户端上配置 DTE 模式
        1.  
          客户端的 DTE_CLIENT_MODE
      6.  
        查看 NetBackup 作业的 DTE 模式
      7.  
        查看 NetBackup 映像和映像副本的 DTE 特定属性
      8.  
        在介质服务器上配置 DTE 模式
      9. 修改备份映像的 DTE 模式
        1.  
          NetBackup 服务器的 DTE_IGNORE_IMAGE_MODE
      10.  
        介质设备选择 (MDS) 和资源分配
      11. DTE 配置设置在各种 NetBackup 操作中的运行方式
        1.  
          备份
        2.  
          还原
        3.  
          MSDP 备份、还原和优化复制
        4.  
          Universal-Share 策略备份
        5.  
          目录库备份和恢复
        6.  
          复制
        7.  
          合成备份
        8.  
          验证
        9.  
          导入
        10.  
          主从复制
    3. 外部 CA 和外部证书
      1. 关于 NetBackup 中的外部 CA 支持
        1.  
          用于外部证书配置的命令行选项
      2.  
        使用外部证书进行 NetBackup 主机通信的工作流程
      3. 用于外部 CA 签名证书的配置选项
        1. NetBackup 服务器和客户端的 ECA_CERT_PATH
          1.  
            为 ECA_CERT_PATH 指定 Windows 证书存储库
        2.  
          NetBackup 服务器和客户端的 ECA_TRUST_STORE_PATH
        3.  
          NetBackup 服务器和客户端的 ECA_PRIVATE_KEY_PATH
        4.  
          NetBackup 服务器和客户端的 ECA_KEY_PASSPHRASEFILE
        5.  
          NetBackup 服务器和客户端的 ECA_CRL_CHECK
        6.  
          NetBackup 服务器和客户端的 ECA_CRL_PATH
        7.  
          NetBackup 服务器和客户端的 ECA_CRL_PATH_SYNC_HOURS
        8.  
          NetBackup 服务器和客户端的 ECA_CRL_REFRESH_HOURS
        9.  
          NetBackup 服务器和客户端的 ECA_DISABLE_AUTO_ENROLLMENT
        10.  
          NetBackup 服务器和客户端的 ECA_DR_BKUP_WIN_CERT_STORE
        11.  
          NetBackup 主服务器的 MANAGE_WIN_CERT_STORE_PRIVATE_KEY 选项
      4.  
        NetBackup 服务在本地服务帐户上下文中运行时 Windows 证书存储库支持的限制
      5. 关于外部 CA 的证书吊销列表
        1.  
          如何使用 ECA_CRL_PATH 中的 CRL
        2.  
          如何使用 CDP URL 中的 CRL
      6. 关于证书注册
        1.  
          关于自动注册外部证书
      7.  
        关于查看主服务器的注册状态
      8. 为 NetBackup Web 服务器配置外部证书
        1.  
          更新或续订 Web 服务器的外部证书
        2.  
          删除为 Web 服务器配置的外部证书
      9.  
        配置主服务器以使用外部 CA 签名证书
      10.  
        在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
      11.  
        为远程主机注册外部证书
      12.  
        查看 NetBackup 域支持的证书颁发机构
      13.  
        在 NetBackup Web UI 中查看外部 CA 签名证书
      14.  
        续订基于文件的外部证书
      15.  
        删除证书注册
      16.  
        在 NetBackup 域中禁用 NetBackup CA
      17.  
        在 NetBackup 域中启用 NetBackup CA
      18.  
        在 NetBackup 域中禁用外部 CA
      19.  
        更改已注册外部证书的使用者名称
      20. 关于群集主服务器的外部证书配置
        1.  
          将外部证书用于群集主服务器的工作流程
        2. 用于虚拟名称的外部 CA 签名证书的配置选项
          1.  
            群集主服务器的 CLUSTER_ECA_CERT_PATH
          2.  
            群集主服务器的 CLUSTER_ECA_TRUST_STORE_PATH
          3.  
            群集主服务器的 CLUSTER_ECA_PRIVATE_KEY_PATH
          4.  
            群集主服务器的 CLUSTER_ECA_KEY_PASSPHRASEFILE
        3.  
          为群集主服务器配置外部证书
    4. 重新生成密钥和证书
      1.  
        关于重新生成密钥和证书
      2.  
        重新生成 NetBackup Authentication Broker 密钥和证书
      3.  
        重新生成主机标识密钥和证书
      4.  
        重新生成 Web 服务密钥和证书
      5.  
        重新生成 nbcertservice 密钥和证书
      6.  
        重新生成 Tomcat 密钥和证书
      7.  
        重新生成 JWT 密钥
      8.  
        重新生成 NetBackup 网关证书
      9.  
        重新生成 Web 信任存储区证书
      10.  
        重新生成 VMware vCenter 插件证书
      11.  
        重新生成 NetBackup 管理器控制台会话证书
      12.  
        重新生成 NetBackup 加密密钥文件
  10. 第 III 部分. 静态数据加密
    1. 静态数据加密安全
      1.  
        静态数据加密术语
      2.  
        静态数据加密注意事项
      3.  
        静态数据加密的目标类型
      4.  
        要考虑的加密安全问题
      5.  
        比较加密选项
      6. 关于 NetBackup 客户端加密
        1.  
          加密安全的安装前提条件
        2. 关于运行加密备份
          1.  
            关于为备份选择加密
          2.  
            标准加密备份过程
          3.  
            旧式加密备份过程
        3.  
          NetBackup 标准加密还原过程
        4.  
          NetBackup 旧式加密还原过程
      7. 在客户端上配置标准加密
        1.  
          管理标准加密配置选项
        2.  
          管理 NetBackup Encryption 密钥文件
        3. 关于从服务器配置标准加密
          1.  
            关于在客户端上创建加密密钥文件
          2.  
            创建密钥文件
          3.  
            密钥文件还原的最佳做法
          4.  
            手动保留以保护密钥文件密码
          5.  
            自动备份密钥文件
        4.  
          将加密的备份文件还原到其他客户端
        5.  
          关于直接在客户端上配置标准加密
        6.  
          在策略中设置标准加密属性
        7.  
          从 NetBackup 服务器更改客户端加密设置
      8. 在客户端上配置旧式加密
        1. 关于从客户端配置旧式加密
          1.  
            管理旧式加密密钥文件
        2. 关于从服务器配置旧式加密
          1.  
            关于将旧式加密配置推送到客户端
          2.  
            关于将旧式加密密码推送到客户端
        3.  
          还原其他客户端上创建的旧式加密备份
        4.  
          关于在策略中设置旧式加密属性
        5.  
          从服务器更改客户端旧式加密设置
        6. 适用于 UNIX 客户端的附加旧式密钥文件安全
          1.  
            运行 bpcd -keyfile 命令
          2.  
            在 UNIX 客户端上终止 bpcd
    2. NetBackup 密钥管理服务
      1. 关于已启用 FIPS 的 KMS
        1.  
          关于联邦信息处理标准 (FIPS)
      2. 安装 KMS
        1.  
          将 KMS 与 NBAC 一起使用
        2.  
          关于将 KMS 与 HA 群集一起安装
        3.  
          启用对 KMS 服务的监视
        4.  
          禁用对 KMS 服务的监视
      3. 配置 KMS
        1.  
          创建密钥数据库
        2. 关于密钥组和密钥记录
          1.  
            关于创建密钥组
          2.  
            关于创建密钥记录
        3. 密钥记录状态概述
          1.  
            密钥记录状态注意事项
          2.  
            活动前密钥记录状态
          3.  
            活动密钥记录状态
          4.  
            不活动密钥记录状态
          5.  
            已过时密钥记录状态
          6.  
            已终止密钥记录状态
        4.  
          关于备份 KMS 数据库文件
        5.  
          关于通过还原所有数据文件来恢复 KMS
        6.  
          通过仅还原 KMS 数据文件来恢复 KMS
        7.  
          通过重新生成数据加密密钥来恢复 KMS
        8.  
          备份 KMS 数据文件时的问题
        9.  
          备份 KMS 数据文件的解决方案
        10.  
          创建密钥记录
        11.  
          列出密钥组中的密钥
        12. 配置 NetBackup 以与 KMS 一起使用
          1.  
            NetBackup 和 KMS 中的密钥记录
          2.  
            设置 NetBackup 以使用磁带加密的示例
        13.  
          使用 KMS Web 应用程序配置 NetBackup KMS
      4. 关于使用 KMS 进行加密
        1.  
          关于导入 KMS 加密的映像
        2.  
          运行已加密磁带备份的示例
        3.  
          验证加密备份的示例
      5. KMS 数据库组成部分
        1.  
          创建空 KMS 数据库
        2.  
          KPK ID 和 HMK ID 的重要性
        3.  
          关于定期更新 HMK 和 KPK
        4.  
          备份 KMS 密钥存储和管理员密钥
      6. 使用命令行界面 (CLI) 进行 KMS 操作
        1.  
          CLI 使用帮助
        2.  
          创建新密钥组
        3.  
          创建新密钥
        4.  
          修改密钥组属性
        5.  
          修改密钥属性
        6.  
          获取密钥组详细信息
        7.  
          获取密钥详细信息
        8.  
          删除密钥组
        9.  
          删除密钥
        10.  
          恢复密钥
        11. 关于从 KMS 数据库中导出和导入密钥
          1. 导出密钥
            1.  
              对导出过程中的常见错误进行故障排除
          2. 导入密钥
            1.  
              对导入过程中的常见错误进行故障排除
        12.  
          修改主机主密钥 (HMK)
        13.  
          获取主机主密钥 (HMK) ID
        14.  
          获取密钥保护密钥 (KPK) ID
        15.  
          修改密钥保护密钥 (KPK)
        16.  
          获取密钥存储统计数据
        17.  
          静默 KMS 数据库
        18.  
          取消静默 KMS 数据库
        19.  
          密钥创建选项
      7. KMS 故障排除
        1.  
          备份不进行加密的解决方案
        2.  
          还原不进行解密的解决方案
        3.  
          故障排除示例 - 无活动密钥记录的情况下进行的备份
        4.  
          故障排除示例 - 使用不正确的密钥记录状态进行的还原
    3. 外部密钥管理服务
      1.  
        关于外部 KMS
      2.  
        证书配置和授权
      3.  
        外部 KMS 配置的工作流程
      4.  
        验证 KMS 凭据
      5. 配置 KMS 凭据
        1.  
          列出 KMS 凭据
        2.  
          更新 KMS 凭据
        3.  
          删除 KMS 凭据
      6. 配置 KMS
        1.  
          列出 KMS 配置
        2.  
          更新 KMS 配置
        3.  
          删除 KMS 配置
      7.  
        在外部 KMS 中配置 NetBackup 使用的密钥
      8. 在外部 KMS 中创建密钥
        1.  
          列出密钥
      9.  
        在存储配置期间确定密钥组名称
      10. 使用多个 KMS 服务器
        1.  
          将一台 KMS 服务器迁移到另一台 KMS 服务器
        2.  
          为每个存储配置使用单独的 KMS 服务器
      11.  
        在备份和还原期间使用外部 KMS
      12.  
        检查 KMS 供应商与 NetBackup 的兼容性
      13.  
        密钥轮换
      14.  
        使用外部 KMS 服务器对目录库备份进行加密时执行灾难恢复
      15.  
        KMS 凭据失效警报
  11. NetBackup 中用于安全通信的密码
    1.  
      NetBackup 中使用的密码
  12. NetBackup 中的 FIPS 遵从性
    1.  
      关于 FIPS
    2.  
      关于 NetBackup 中的 FIPS 支持
    3.  
      前提条件
    4.  
      在 NetBackup 中指定熵随机性
    5.  
      在 NetBackup 域中配置 FIPS 模式
    6.  
      在 NetBackup 安装期间启用 FIPS 模式
    7.  
      安装后在 NetBackup 主机上启用 FIPS 模式
    8.  
      为 NetBackup 身份验证代理服务启用 FIPS 模式
    9.  
      为 NetBackup 管理控制台启用 FIPS 模式
    10. 为 NetBackup 禁用 FIPS 模式
      1.  
        为 NetBackup 主机禁用 FIPS 模式
      2.  
        为 NetBackup 身份验证代理 (nbatd) 禁用 FIPS 模式
      3.  
        为 NetBackup 管理控制台禁用 FIPS 模式
    11.  
      NetBackup 服务器和客户端的 NB_FIPS_MODE 选项
    12.  
      NetBackup 服务器和客户端的 USE_URANDOM
  13. NetBackup Web 服务帐户
    1.  
      关于 NetBackup Web 服务帐户
    2.  
      更改 Web 服务用户帐户
  14. 使用非特权用户(服务用户)帐户运行 NetBackup 服务
    1. 关于 NetBackup 服务用户帐户
      1.  
        使用服务用户帐户的重要注意事项
    2.  
      配置服务用户帐户
    3.  
      在安装或升级后更改服务用户帐户
    4.  
      授予服务用户帐户对外部路径的访问权限
    5.  
      使用服务用户帐户运行的 NetBackup 服务
  15. 使用非特权用户帐户运行 NetBackup 命令
    1. 使用 nbcmdrun 包装器命令运行 NetBackup 命令
      1.  
        nbcmdrun 如何运行
  16. NetBackup 中数据的不可变性和不可删除性
    1.  
      关于不可篡改和不可删除数据
    2.  
      配置不可篡改和不可删除数据的工作流程
    3.  
      使用 bpexpdate 命令从存储中删除不可篡改映像
    4.  
      使用 bpexpdate 命令从目录库中删除不可篡改映像
  17. 异常检测
    1. 关于备份异常检测
      1.  
        如何检测备份异常
      2.  
        配置备份异常检测设置
      3.  
        检测主服务器上的备份异常
      4.  
        检测介质服务器上的备份异常
      5.  
        查看备份异常
    2. 关于系统异常检测
      1.  
        配置系统异常检测设置
      2.  
        配置基于规则的异常检测
      3.  
        配置基于风险引擎的异常检测
      4.  
        查看系统异常
    3.  
      启用自动扫描的异常配置
    4. NetBackup 中的熵和文件属性计算
      1.  
        熵和文件属性计算的支持信息
      2.  
        NetBackup 主服务器的 COMPUTE_IMAGE_ENTROPY
      3.  
        禁用客户端熵和文件属性的备份异常检测和计算
  18. 第 IV 部分. 恶意软件扫描
    1. 介绍
      1. 关于恶意软件扫描
        1. 恶意软件扫描的工作流程
          1.  
            MSDP 备份映像的恶意软件扫描工作流程
          2.  
            OST 和 AdvancedDisk 的恶意软件扫描工作流程
      2.  
        关于动态扫描
      3.  
        关于根据恶意软件哈希执行文件哈希搜索
      4.  
        限制
    2. 如何设置恶意软件扫描
      1.  
        如何设置恶意软件扫描
    3. 即时访问配置
      1.  
        关于即时访问配置
      2.  
        配置即时访问的 MSDP 自建 (BYO) 服务器前提条件和硬件要求
      3.  
        用于恶意软件扫描的即时访问调整参数 (BYO)
      4.  
        扫描实例的配置
    4. 恶意软件工具配置
      1.  
        支持的恶意软件工具
      2. 配置 NetBackup 恶意软件扫描程序 (Avira)
        1.  
          配置镜像服务器以进行签名更新
        2.  
          在 Windows 或 Linux 上配置代理服务器
        3. 在扫描主机上配置 NetBackup 恶意软件扫描程序
          1.  
            为 Windows 配置 NetBackup 恶意软件扫描程序
          2.  
            为 Linux 配置 NetBackup 恶意软件扫描程序
      3.  
        配置 Symantec Protection Engine
      4.  
        配置 Microsoft Defender Antivirus
    5. 扫描主机配置
      1.  
        NetBackup 恶意软件扫描主机功能
      2. 扫描主机的前提条件
        1.  
          Windows 扫描主机的前提条件
        2.  
          Linux 扫描主机的前提条件
      3.  
        使用 NFS 共享的扫描主机的限制和注意事项
      4. 配置扫描主机
        1. 自动扫描主机配置
          1.  
            使用 PowerShell 配置扫描主机
          2.  
            使用 Shell 配置扫描主机
          3.  
            使用 Ansible 配置扫描主机
        2. 手动扫描主机配置
          1.  
            为 Windows NFS 共享类型和 Microsoft Defender 配置恶意软件扫描主机
          2.  
            为 Linux NFS 共享类型和 Avira 配置恶意软件扫描主机
          3.  
            将 NetBackup 客户端配置为扫描主机
      5. 配置扫描主机池
        1.  
          扫描主机池的前提条件
        2.  
          配置新的扫描主机池
        3.  
          在扫描主机池中添加新主机
      6. 管理扫描主机
        1.  
          添加现有扫描主机
        2.  
          验证扫描主机池配置
        3.  
          删除扫描主机
        4.  
          停用扫描主机
        5.  
          管理用于恶意软件扫描的凭据
      7.  
        配置恶意软件检测的资源限制
    6. 执行恶意软件扫描
      1.  
        在恢复之前执行恶意软件扫描
      2. 执行恶意软件扫描
        1.  
          扫描备份映像
        2.  
          资产 (按策略类型)
        3.  
          资产 (按工作负载类型)
    7. 管理扫描任务
      1.  
        查看恶意软件扫描状态
      2.  
        针对恶意软件扫描的映像的操作
      3.  
        从受恶意软件影响的映像(受保护计划保护的客户端)中恢复
      4.  
        从受恶意软件影响的映像(受策略保护的客户端)中恢复
      5.  
        虚拟工作负载的干净文件恢复 (VMware)
    8. 恶意软件扫描配置参数
      1.  
        MALWARE_SCAN_OPERATION_TIMEOUT
      2.  
        MALWARE_DETECTION_CLEANUP_PERIOD
      3.  
        NetBackup 服务器的 MALWARE_DETECTION_TIMEOUT_PERIOD 选项
      4.  
        FAIL_SAFE_SCAN_RETRY_COUNT
      5.  
        恶意软件哈希配置参数
      6.  
        MALWARE_DETECTION_MALWARE_JOBS_CLEANUP_PERIOD
      7.  
        MALWARE_DETECTION_WORKLIST_CLEANUP_PERIOD
    9. 故障排除
      1.  
        对恶意软件扫描问题进行故障排除

对恶意软件扫描问题进行故障排除

无法从 NetBackup 恶意软件实用程序获得响应

适用于扫描主机 RHEL 8.x 和 NFS 版本 4.x)扫描大型备份(约 2 亿个文件)时,Web UI 上显示以下错误,表示作业失败:

Failed to get response from NetBackup malware utility.

在扫描主机上进行扫描时,无法从扫描主机访问 NFS 装入点。扫描作业仍在进行中,将在两天后超时。可以访问存储服务器上的 NFS 导出。

解决办法:通过在扫描主机上的 /etc/nfsmount.conf 文件中设置以下配置,确保使用 NFS 版本 3 通过 NFS 在扫描主机上装入 IA 装入:

# grep Defaultvers /etc/nfsmount.conf Defaultvers=3

无法连接到扫描主机

从介质服务器到扫描主机的 SSH 连接失败。

解决办法:验证以下扫描主机凭据:

  • RSA (SHA256) 密钥

  • 用户名

  • 密码

有关扫描主机配置,请参考《NetBackup Web UI 管理指南》。

无法确定扫描主机操作系统

错误可能是由于扫描主机不受支持所致。

解决办法:有关扫描主机的支持平台的完整列表,请参考“软件兼容性列表”文档。

无法将 NetBackup 恶意软件实用程序复制到扫描主机

  • 扫描主机上没有足够的可用空间。

  • SSH 用户无权访问扫描主机上的所需目录。

解决办法

  • 在 Windows 扫描主机上,检查 C:\ 文件夹是否有可用空间。

  • 在 Linux 扫描主机上,检查 /tmp 文件夹是否有可用空间。

无法获取扫描主机凭据

介质服务器无法从主服务器获取用于访问扫描主机的凭据。

解决办法:检查是否已指定扫描主机的凭据。

扫描期间发生超时

默认情况下,扫描操作在两天后超时。扫描时间可能因工作负载类型、网络带宽、备份大小等因素而异。

解决办法:扫描超时是可配置的,可以通过设置 MALWARE_SCAN_OPERATION_TIMEOUT 配置项进行更改。

  • 最小值:1 小时

  • 最大值:30 天

无法从 NetBackup 恶意软件实用程序获得响应

nbmalwareutil 二进制文件与 ScanManager 不匹配

解决办法

请与 NetBackup 支持联系。

无法启动扫描程序

特定于恶意软件扫描程序的故障消息。

解决办法:请参考介质服务器上的 nbmalwarescanner 日志。

无法装入备份映像

无法从扫描主机访问 IA 共享。

解决办法:检查存储服务器上的 IA 配置。验证活动监视器上的 IA 作业是否成功。

无法卸载备份映像

IA 共享繁忙或不可访问。

解决办法:请参考介质服务器上的 nbmalwarescanner 日志。

无法运行扫描

在扫描备份映像期间发生常规故障。

解决办法:请参考介质服务器上的 nbmalwarescanner 日志。

即时访问装入已创建,但未被恶意软件扫描删除

在扫描备份映像期间发生常规故障。

解决办法

  • 验证是否正在进行任何扫描。

  • 如果未进行任何扫描,则从以下目录获取此类即时访问装入的列表,其中包含使用 GET IA API 创建的即时访问装入的 ID:

    /netbackup/recovery/workloads/{workload}/instant-access-mounts

  • 使用 DELETE API 删除即时访问装入:

    /netbackup/recovery/workloads/{workload}/instant-access-mounts/{mounId}

所有装入驱动器均已用完

Windows 扫描主机上只能同时装入五个备份映像。

解决办法

  • 确保扫描主机不属于多个 NetBackup 域。

  • 通过运行 net use 来检查扫描主机上是否存在任何失效装入。

  • 以下驱动器盘符用于在 Windows 扫描主机上装入 IA 共享。确保它们未在使用中。 L:\ M:\ N:\ O:\ P:\

未安装 Windows Defender,或者未设置环境变量

Microsoft Windows Defender 未安装在扫描主机上或者配置错误。

解决办法:确保扫描主机上已安装 Microsoft Windows Defender。

有关扫描主机配置,请参考《NetBackup Web UI 管理指南》。

未安装 Symantec Protection Engine,或者未设置环境变量

Symantec Protection Engine 未安装在扫描主机上或者配置错误。

解决办法:确保扫描主机上已安装 Symantec Protection Engine。

有关扫描主机配置,请参考《NetBackup Web UI 管理指南》。

无法对备份映像执行恶意软件扫描

扫描失败的常规错误。

解决办法:请联系 NetBackup 支持。

NetBIOS 名称的长度最多为 15 个字符

为支持 SMB 共享,存储服务器主机名不能超过 15 个字符。

如果使用 Windows Server 2016 设置 Active Directory 域,则不允许连接到主机名长度超过 15 个字符的存储服务器。

解决办法:确保字符限制不超过 15 个字符。

无法运行扫描

在扫描备份映像期间发生常规故障。

解决办法:检查是否出现以下错误:

  • 请参考介质服务器上的 nbmalwarescanner 日志。

  • 检查介质服务器存储上的空间。

  • 检查介质服务器上的 NFS 服务故障。

所选时间范围内的受感染文件过多

查看 nbmalwarescanner 以查看所选日期范围内备份映像的受感染文件列表。

解决办法:更新日期范围或恢复文件和文件夹选择,以减少受感染文件的数量。重试该操作。还可以执行以下操作之一:

  • 选择“允许恢复受恶意软件感染的文件”选项,该选项可用于恢复可选择的干净文件。

  • 从恢复中跳过该备份映像。

大量受感染的文件

  • 所选扫描结果中的受感染文件过多。如果扫描结果中受感染的文件超过 5000 个,将显示以下消息:

    Large number of infected files. To view the complete list of infected files, export the list.

    解决办法:以 .csv 格式导出受感染文件的列表并下载该列表以进行查看。

  • 所选扫描结果中存在许多受感染文件,或者受感染文件路径太长,无法在数据库中捕获。将显示以下错误消息:

    Large number of infected files.

    解决办法:无法导出或查看此结果。

    :由于无法导出或直接查看结果,可从扫描日志查看所选扫描结果中受感染文件的详细列表。

扫描操作分为多个部分

对于大型备份,扫描操作分为多个部分。例如,如果备份中的文件总数为 1,000,000 个,扫描操作将分为两部分,每个部分 500,000 个文件。

每个部分将分别创建和扫描。可以为每个部分分配不同的扫描主机。恶意软件检测 UI 只显示一个备份条目。

解决办法:使用 REST API 可以获取每个划分部分的详细信息。

缺少 NB_MALWARE_SCANNER_PATH 环境变量

使用扫描主机上安装的 NetBackup 恶意软件扫描程序执行恶意软件扫描操作时,操作失败并显示以下错误消息:

Missing environment variable NB_MALWARE_SCANNER_PATH

解决办法:确保已安装 NetBackup 恶意软件扫描程序。记下安装位置。

使用在主服务器上进行扫描主机配置期间提供的相同用户凭据以用户身份登录扫描主机。将以下行添加到 ~/.bashrc

export NB_MALWARE_SCANNER_PATH=<installLocation>/savapi-sdk-linux64/bin

export PATH=$PATH:$NB_MALWARE_SCANNER_PATH

未能在 Windows 扫描主机上执行恶意软件扫描

如果安装了 cygwin mks 工具包,则 Windows 扫描主机上的恶意软件扫描可能会失败。

解决办法:已安装 UNIX 实用程序,但是定义的 scanuser 不能在 PATH 变量中包含这些 UNIX 实用程序。

与扫描主机上的空间和目录访问相关的问题

错误/问题

描述

解决方法

  • 打开文件失败。

  • 无法创建目录。

  • 无法生成结果文件。

  • 无法打开输出文件。

  • 无法为结果文件创建目录。

  • 无法打开结果文件。

  • 无法创建装入目标目录。

  • 无法为日志文件创建目录。

  • 扫描主机上没有足够的可用空间。

  • SSH 用户无权访问扫描主机上的所需目录。

  • 在 Windows 扫描主机上,检查 C:\ 中是否有可用空间

  • 在 Linux 扫描主机上,检查 /tmp 中是否有可用空间

与 NAS-Data-Protection 相关的问题

在选择了以下选项的情况下将 NetBackup 从早期版本升级到 NetBackup 10.2.1 或更高版本时,将显示 No images match the search criteria 消息:

选项

字段

搜索依据:备份映像

策略类型:NAS-Data-Protection

副本:Copy2

恶意软件扫描状态:未扫描(默认值)

搜索依据:资产 (按策略类型)

策略类型:NAS-Data-Protection

副本:Copy2

扫描程序主机池:选择所需的扫描程序主机池。

恶意软件扫描状态:未扫描(默认值)

解决办法

要查看备份的映像,请确保在“恶意软件扫描状态”选项中选择“全部”,以扫描在早期版本的 NetBackup 介质服务器上创建的 NAS-Data-Protection 备份映像。

扫描性能问题

在 10.3 之前的 NetBackup 版本中,将即时访问装入点用于恶意软件扫描(传统恶意软件扫描)时,出现了性能问题。

解决办法:升级到 NetBackup 介质和存储服务器 10.3 或更高版本。NetBackup 10.3 引入了“动态扫描”功能。这样可以缩短即时访问时间以及提高扫描性能。

下表提供了传统恶意软件扫描和动态扫描之间的差异:

关键扫描过程

使用即时访问装入点的传统恶意软件扫描

动态扫描

即时访问阶段。

分析 tar 流并生成每个文件头和盘区映射文件(LMDB 数据库),对于备份中存在大量文件的情况,这会非常耗时。

从片段还原 TIR(目录库数据库)和 IM(映像元数据)信息。

已装入即时访问共享 (NFS/SMB),并且用户尝试列出或访问该文件。

访问它的头文件并从中读取属性。

查询目录库数据库中的目录,以获取此目录下的所有文件和目录。它还可以查询输出中的每个文件和目录属性。

扫描主机打开文件

打开并加载 LMDB 数据库。

在内存中生成索引并直接从数据容器读取。

  • 通过查找和读取 tar 文件头并分析内容来获取文件的盘区。

  • 通过从片段 FP 映射中搜索 SO 列表来获取 SO 列表(仅限 PureDisk)

  • 通过插入 SO 列表生成映射表(仅限 PureDisk)

扫描主机读取文件

从 LMDB 数据库搜索并从数据容器中读取。

如果存储服务器是第三方存储供应商,它将直接通过 OST 接口读取数据。如果存储服务器是 PureDisk,它将从映射表中搜索并从数据容器读取数据。

错误的日志文件位置的详细信息

下表提供了要查看的相应日志文件的详细信息,具体取决于用例:

表:日志文件位置

用例

主服务器上的组件

介质服务器上的组件

日志文件路径

配置

nbwebservice

ncfnbcs

对于主服务器:

  • /usr/openv/logs/nbwebservice

  • /usr/openv/netbackup/logs/​bprd/

对于介质服务器:

  • /usr/openv/logs/ncfnbcs

  • /usr/openv/netbackup/​logs/nbmalwarescanner/

扫描进程

nbwebservice

bprd

ncfnbcs

nbmalwarescanner

恢复

nbwebservice

bprd

SSH 登录默认处于禁用状态

对于 VMWare VM 备份扫描,请确保使用 uid=0 的扫描用户。SSH 登录默认处于禁用状态,出于安全原因,用户可能无法将其启用。

解决办法

在上述情况下,请执行以下操作:

如果禁用 root 用户的 SSH 登录,则可以将非 root 扫描用户添加到组 0 (root),以便能够扫描所有文件。

例如,uid=1001(scanuser) gid=1001(scanuser) groups=1001(scanuser),0(root)