Veritas NetBackup™ Appliance セキュリティガイド

更新され、調整された RHEL (Red Hat Enterprise Linux) ベースの Linux OS プラットフォームによって、すべての必要なソフトウェアコンポーネントを互換性がある堅牢なハードウェアプラットフォームにパッケージし、インストールすることができます。

NIST (米国標準) と RHEL からのセキュリティ基準に基づいて VxOS のセキュリティを強化します。追加のセキュリティが SDCS (Symantec Data Center Security) によって提供されます。

Symantec Data Center Security: Server Advanced (SDCS) 侵入防止および侵入検出ソフトウェアは、各プロセスとすべてのシステムファイルを隔離し、サンドボックス化することで、VxOS を強化してバックアップデータを保護します。

業界に認められた脆弱性スキャナによるアプライアンスの定期スキャン。検出された脆弱性は、アプライアンスソフトウェアの定期リリースや、Emergency Engineering Binary（EEB）を使用してパッチが適用されます。セキュリティ上の脅威がリリーススケジュールの間に特定された場合、既知の解決法については Veritas サポートまでお問い合わせください。

未使用のサービスアカウントは削除されるか無効化されます。

VxOS にはサービス拒否 (DoS) のような攻撃からアプライアンスを保護するための編集されたカーネルパラメータが含まれます。たとえば、sysctl 設定、net.ipv4.tcp_syncookies は、TCP SYN cookies を実装するため、/etc/sysctl.conf 構成ファイルに追加されました。

不要な runlevel サービスは無効化されました。VxOS では、runlevel を使用し、実行する必要のあるサービスを判断したり、システム上で実行する特定の作業を許可したりします。

FTP、telnet、rlogin (rsh) は無効です。ssh、scp、sftp に限定して使用できます。

AllowTcpForwarding no とX11Forwarding no の /etc/ssh/sshd_config への追加で、SSH の TCP 転送は無効化されました。

IP 転送が VxOS 上で無効にされ、TCP/IP スタックでのルーティングを許可しなくなりました。この機能により、あるサブネット上のホストがアプライアンスをルーターとして使って、別のサブネット上のホストにアクセスするのを防ぐことができます。

NetBackup Appliance では、ネットワークインターフェース上での IP エイリアス (複数の IP アドレスの構成) は許可されません。この機能により、1 つの NIC ポート上の複数のネットワークセグメントへのアクセスを防止できます。

UMASK 値は新しく作成されたファイルのファイル権限を判断します。新しく作成されたファイルにデフォルトでは与えられない権限を指定します。ほとんどの UNIX システムの UMASK のデフォルト値は 022 ですが、NetBackup Appliance では UMASK は 077 に設定されています。

VxOS で検出された万人書き込み可能なすべてのファイルの権限が検索されて修正されました。

VxOS で検出されたすべての孤立した、あるいは所有者不明のファイルとディレクトリの権限が検索されて修正されました。

ソフトウェアバージョン 3.1 以降、SMBv1 プロトコルは無効になり、SMBv2 プロトコルに置き換えられています。SMBv1 プロトコルは、WannaCry や Petya などのランサムウェア攻撃に対する脆弱性があるため、安全と見なされなくなりました。SMBv2 は、NetBackup Appliance でサポートされる最低限のプロトコルになりました。