Data Domain – Handbuch zur Systemhärtung und zu Best Practices

Zusammenfassung: Der Härtungsprozess ist zweifach. Traditionell tun Kunden, die ein System härten möchten, dies, weil sie entweder im Auftrag oder bei der Anwendung sicherer Datenverarbeitungspraktiken. Diese Tabellen enthalten sowohl die Verfahren zum Härten als auch die Maßnahmen zur Risikominderung zur Einhaltung der Sicherheitstechnischen Implementierung der Federal Defense Information Systems Agency (DISA) UIdes (STIGs) auf dem Gerät. Die Informationen in diesem Handbuch beziehen sich auf unsere neueste DDOS-Version 7.10. ...

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Weisungen

Administratorzugriff

Beschreibung Empfehlung zum Härten
Ändern Sie das Standardkennwort. Melden Sie sich als sysadmin an und führen Sie den Befehl # user change password aus. 
Konfigurieren Sie häufige Kennwortrotationen gemäß der Kennwortrichtlinie des Unternehmens.

Befolgen Sie die Unternehmenskennwortrichtlinie, um die standardmäßige Kennwortalterungsrichtlinie festzulegen.

# user password aging option set
{[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]}

 
Konfigurieren Sie eine Richtlinie für sichere Kennwörter.

Legen Sie eine Richtlinie zur Sicherheit von Nutzerkennwörtern fest:

# user password strength set
{[min-length <length>]
[min-character-classes <num-classes>]
[passwords-remembered <0 - 24>][minpositions-changed <min-positions>]}

Kennwortempfehlungen:
● Mindestens 12 Zeichen
● Keine Leerzeichen
● Keine gebräuchlichen Wörter
aus dem Wörterbuch● Mindestens 8 Positionen sollten während der Passwortänderung geändert werden
 
Aktivieren Sie den Security Officer. 

Fügen Sie einen Security Officer-Rollennutzer hinzu, erzwingen Sie eine Kennwortänderung und aktivieren Sie die Autorisierungs-Policy. Verwenden Sie den Befehl user add, um einen Security Officer als Nutzer der Sicherheitsrolle hinzuzufügen.

# user add <user>
[uid <uid>]
[role {admin | limited-admin | security |
user | backup-operator | none}]
[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]
[disable-date <date>]
[force-password-change {yes | no}]

Legen Sie force-password-change auf "yes" fest, wenn Sie das Security Officer-Konto hinzufügen.

Log in as security officer, and run 
# authorization policy set security-officer enabled


 
Verwenden Sie limited-admin für den täglichen Betrieb anstelle von admin oder sysadmin.

Fügen Sie einen Nutzer mit der Rolle limited-admin hinzu und legen Sie ein anderes Kennwort als Nutzer mit der Rolle sysadmin/admin fest.

# user add <user>
[uid <uid>]
[role {admin | limited-admin | security |
user | backup-operator | none}]
[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]
[disable-date <date>]
[force-password-change {yes | no}]

 
Ändern Sie das Kennwort des Security Officer, das vom Systemadministrator erstellt wird. 
Log in as security officer, and then run 
# user change password
Verwenden Sie die Clientliste, um den Zugriff nur auf die erforderlichen Hosts zu beschränken. 
For SSH:
● Add an SSH host.
# adminaccess ssh add <host-list>
● Delete hosts from the SSH list.
# adminaccess ssh del <host-list>
For HTTP and HTTPS:
● Add an HTTP/HTTPS host.
# adminaccess http add <host-list>
● Delete hosts from the HTTP/HTTPS list.
# adminaccess http del <host-list>
Hinweis: Verwenden Sie kein Platzhalterzeichen, das den Zugriff für einen beliebigen Nutzer aktiviert. Geben Sie stattdessen einzelne IP-Adressen oder Clientnamen ein. 

 
Standardmäßig werden Verschlüsselungen mit statischen Schlüsseln unterstützt, die dazu führen, dass Sicherheitsscanner "Weak Cipher Suites were detected: Perfect Forward Secrecy wird nicht unterstützt". Konfigurieren Sie die TLS-Chiffrenliste, um die Unterstützung für statische Schlüsselchiffren zu entfernen.

From DDOS v7.7, cipher-list can be
modified to support only cipher-suites with
perfect forward secrecy by running following
command: adminaccess option set cipherlist DHE-RSA-AES128-SHA256:DHE-RSA-AES128-
GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSAAES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCMSHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHEECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-
GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHERSA-AES256-SHA384:ECDHE-ECDSA-AES128-
SHA256:ECDHE-RSA-AES128-SHA256

 

Überwachen Sie Syslog, um die Nutzererstellung und andere vertrauliche Aktivitäten im System zu überwachen. 
● Configure and forward logs to syslog server.
● Monitor audit log and access log. See the DDOS Command
Reference UIde for more information.
○ # log view access-info
○ # log view audit-info
● Consider writing a script that runs the above commands
several times a day and reports any suspicious activities.
● Pay close attention to sensitive and not often used
commands that are related to user access management
and network settings, including time setting.
● Monitor authentication and authorization failures in
particular.
● Monitor all operations that require password.
● Monitor destruction operations and any failures and
repeating attempts.
● Highly recommended is to write searches and dashboards
to view log forwarded info. Also setup alerts rules on your
log server.
Geben Sie andere Security Officer-Zugangsdaten als sysadmin an. Legen Sie verschiedene Kennwörter für SystemadministratorInnen, AdministratorrollennutzerInnen und Sicherheitsbeauftragte fest.
Keine einzelne Person sollte die Zugangsdaten des Systemadministrators und des Sicherheitsbeauftragten kennen. Es wird empfohlen, unterschiedliche Personen als Systemadministrator und als Sicherheitsbeauftragten einzusetzen.
Verwenden Sie vom Rechenzentrum ausgestellte Zertifikate. DD-Systeme verfügen über selbstsignierte Zertifikate. Es wird empfohlen, die Zertifikate aus Ihrem Rechenzentrum zu importieren.
Verwenden Sie netfilter, um Ports zu deaktivieren, wenn sie nicht erforderlich sind. Deaktivieren Sie beispielsweise Port 111 und 2049, wenn DD Boost nicht verwendet wird.
Aktivieren Sie Telnet nicht. 
Disable telnet by running # adminaccess disable telnet
Verwenden Sie FTPS und SCP, aber nicht FTP. FTP ist standardmäßig deaktiviert. Verwenden Sie FTPS und SCP, aber nicht FTP.
Verwenden Sie SNMP v3, wenn SNMP konfiguriert ist. Wenn SNMP konfiguriert ist, aktivieren Sie SNMPv3.
Stellen Sie sicher, dass SNMPv1 und SNMPv2c deaktiviert sind.



Verschlüsselung 

Beschreibung Empfehlung zum Härten
Verwenden Sie einen externen Key Manager für die Verschlüsselung. Data Domain-Verschlüsselung – Häufig gestellte Fragen
Verwendung von Verschlüsselungsalgorithmus und Schlüssellänge Es wird empfohlen, 256-Bit-Schlüssel und den AES-Algorithmus im GCM-Modus zu verwenden.
Konfigurieren Sie die System-Passphrase. 
Set and use a hardened system passphrase. The default
minimum length requirement is 9 characters. Use system
passphrase option set min-length to set higher
length requirements.

PowerProtect DD: Festlegen und Ändern der System-Passphrase


TLS für FTP 

Beschreibung  Empfehlung zum Härten
TLS-Version Standardmäßig aktiviert FTPS TLSv1.2. Die TLS-Versionen TLSv1.0 und TLSv1.1 sind standardmäßig deaktiviert. Verwenden Sie bei Bedarf die bereitgestellte TLS-Version-Konfigurationsoption, um die TLS-Versionen TLSv1.0 und TLSv1.1 zu aktivieren.
Chiffrenliste Die Standard-Chiffrenliste unterstützt nur TLSv1.2. Um TLSv1.0 und TLSv1.1 zu aktivieren, ändern Sie die Chiffrenliste entsprechend.


Replikation 

Beschreibung  Empfehlung zum Härten
Verwenden Sie Verschlüsselung und bidirektionale Authentifizierung. 
Configure two-way authentication when adding a replication
pair.
# replication add source <source>
destination <destination>
[low-bw-optim {enabled | disabled}]
[encryption {enabled [authentication-mode
{one-way | two-way | anonymous}] |
disabled}]
[propagate-retention-lock {enabled |
disabled}]
[ipversion {ipv4 | ipv6}]
[max-repl-streams <n>]
[destination-tenant-unit <tenant-unit>]

 

DD Boost

Beschreibung Empfehlung zum Härten
Legen Sie global-authentication-mode auf two-way-password fest und aktivieren Sie die Verschlüsselung.

Standardmäßig ist der globale Authentifizierungsmodus auf none festgelegt und die Verschlüsselung ist deaktiviert. Die Konfigurationen stellen sicher, dass nur DD Boost-Clients mit mindestens bidirektionaler Kennwortauthentifizierung, die DD Boost 3.3 oder höher verwenden, eine Verbindung herstellen können und Daten über die Verbindung verschlüsselt werden. 

 

Hinweis: Sicherere Konfigurationen, unidirektional (pro Client) und bidirektional (global), sind verfügbar. Mit diesen Einstellungen müssen DD Boost-Clients die erforderlichen Zertifikate bereitstellen, um eine Verbindung herzustellen.

 

# ddboost option set global-authenticationmode two-way-password global-encryptionstrength <high/medium>

 

 
Kennwort-Hash-Unterstützung auf SHA512 festlegen

Standardmäßig ist der Kennwort-Hash auf MD5 eingestellt. Das Ändern in SHA512 verhindert, dass DD Boost-Clients den SHA512 nicht unterstützen können.

 # adminaccess option set password-hash
{md5 | sha512}

 
Konfigurieren Sie DD Boost-Nutzer mit der Rolle "none". HINWEIS: Die Rolle none für DD Boost-Nutzer gilt für eigenständige Data Domain- und PowerProtect DD-Systeme. Befolgen Sie bei der Integration von DD Boost in Backupsoftware (d. h. Avamar) die Anweisungen zur Nutzerrolle in der Dokumentation zur Backupsoftware. 
Create a none role user and associates it to be a DD Boost
user.
 # user add <user> role none
# ddboost user assign <user>

 
Begrenzen Sie die Zuweisung eines DD Boost-Nutzers auf eine einzige Speichereinheit. Weisen Sie denselben DD Boost-Nutzer nicht mehreren DD Boost-Speichereinheiten zu. Dadurch wird die Anzahl der DD Boost-Clients begrenzt, die dieselben DD Boost-Nutzerzugangsdaten verwenden.
Verwenden Sie die Clientliste, um den Zugriff einzuschränken. 
# ddboost clients add client-list [encryption-strength {none | medium | high} authentication-mode {one-way | two-way | twoway-password | anonymous | kerberos}]
Hinweis: Verwenden Sie während der Konfiguration kein Platzhalterzeichen, das den Zugriff für einen beliebigen Nutzer aktiviert. Geben Sie stattdessen einzelne IP-Adressen oder Clientnamen ein.
Aktivieren Sie die Verschlüsselung mit bidirektionaler Authentifizierung für die gemanagte Dateireplikation.

Verwenden Sie den bidirektionalen Authentifizierungsmodus.

# ddboost file-replication option set
encryption enabled authentication-mode twoway

 
Konfigurieren Sie den NFS-Port so, dass ein anderer Wert als 2049 verwendet wird, um den NFSv3-Clientzugriff zu verhindern. 
# nfs option set nfs3-port <new port number>
# nfs option set nfs4-port <new port number>

 
Verwenden Sie Kerberos für BoostFS. Clients, die über BoostFS eine Verbindung zum DD-System herstellen, wird empfohlen, die Kerberos-Unterstützung nur dann zu verwenden, wenn FIPS keine Option ist. Die Active Directory-Unterstützung des DD-Systems muss konfiguriert sein. Informationen zum Konfigurieren von BoostFS-Clients für die Verwendung von Kerberos finden Sie in der plattformspezifischen DD BoostFS-Konfigurations-UIde
Verwenden Sie bei Verwendung von Avamar die Avamar-Standardsicherheitseinstellungen für DD Boost-Konnektivität. Avamar verwendet standardmäßig bidirektionale TLS-Zertifikate, Verschlüsselung und Tokenzugriff für Clients. Es wird empfohlen, die Standardeinstellung beizubehalten.
Wenn DD Boost oder NFS nicht verwendet wird, verwenden Sie die netfilter-Option, um Portmapper-Port 111 zu deaktivieren. 
# net filter add operation block protocol
tcp ports 111
  
# net filter add operation block protocol
udp ports 111

 


NFS

Beschreibung Empfehlung zum Härten
Konfigurieren Sie Kerberos mit Verschlüsselung. 
Ensures that data on the wire is encrypted.
# nfs export create <export name> path
<path> option sec=krb5p

 
Geben Sie die Liste der Hosts an, die auf den Export zugreifen können. 
Delete NFS clients from an export
# nfs add <path> <client-list> [ ( <optionlist> ) ]
Delete NFS clients from an export.
# nfs del <path> <client-list>
Hinweis: Verwenden Sie bei der Konfiguration kein Platzhalterzeichen, um den Zugriff für einen beliebigen Nutzer zu aktivieren. Geben Sie stattdessen einzelne IP-Adressen oder Clientnamen ein.

 
Keine Verwendung von no_root_squash

Überprüfen Sie dies mit dem folgenden Befehl:

# nfs export show list

Überprüfen Sie, ob no_root_squash nicht für Exporte konfiguriert ist.


Virtuelle Bandbibliothek/vDisk

Beschreibung Empfehlungen zum Härten
Verwenden Sie die Standardoptionen. Vorhandene Standardoptionen gelten als Best Practices.

DISA-STIG-Standards
Die folgende Tabelle enthält DISA STIG/SRG-Regeln mit den entsprechenden Schritten zur Verstärkung der Sicherheitsverstärkung.
Diese Empfehlungen können verwendet werden, um die DISA-STIG-Standards für den Gerätetyp einzuhalten.

Beschreibung Empfehlung zum Härten
Aktivieren Sie die nach FIPS 140-2 genehmigte Verschlüsselung. DD unterstützt nur die Verwendung von FIPS 140-2-genehmigten Chiffren für sichere Verbindungen. DD empfiehlt die Verwendung der Benutzeroberfläche oder der CLI, um den FIPS-Modus zu aktivieren:
● Benutzeroberfläche: Administration > Setting > FIPS mode ● CLI: system fips-mode enable
Der Anwendungsserver muss die Anzahl der gleichzeitigen Sitzungen für alle Konten und Kontotypen auf eine von der Organisation definierte Anzahl beschränken. DD empfiehlt die UI- oder CLI-Sicherheitsverstärkung:
● UI: Administration > Access > More Tasks > Change Login Options (um die aktive Anmeldung auf 100 festzulegen)
● CLI: adminaccess option set login-maxactive 100
Das Netzwerkgerät muss so konfiguriert werden, dass das Limit von drei aufeinanderfolgenden ungültigen Protokollierungsversuchen erzwungen wird. Danach muss es alle Anmeldeversuche 15 Minuten lang blockieren. DD empfiehlt die Verwendung der UI oder CLI für die Konfiguration von:
● UI: Administrationszugriff >> Weitere Aufgaben > Ändern des Werts für Maximale Anmeldeversuche auf 3, Timeout entsperren auf 900 Sekunden


DISA-STIG-Standards

Beschreibung Empfehlung zum Härten
Aktivieren Sie die nach FIPS 140-2 genehmigte Verschlüsselung. 
DD supports use of only FIPS 140-2 approved ciphers for
secured connections. DD recommends using UI or CLI to
enable FIPS mode:
● UI: Administration > Setting > FIPS mode
● CLI: system fips-mode enable

 
Der Anwendungsserver muss die Anzahl der gleichzeitigen Sitzungen für alle Konten und Kontotypen auf eine von der Organisation definierte Anzahl beschränken. 
DD recommends UI or CLI hardening:
● UI: Administration > Access > More Tasks > Change
Login Options (to set active login to 100)
● CLI: adminaccess option set login-maxactive 100

 
Das Netzwerkgerät muss so konfiguriert werden, dass das Limit von drei aufeinanderfolgenden ungültigen Protokollierungsversuchen erzwungen wird. Danach muss es alle Anmeldeversuche 15 Minuten lang blockieren.

DD empfiehlt die Verwendung der UI oder CLI für die Konfiguration von:
UI: Administrationszugriff >> Weitere Aufgaben > Ändern des Werts für Maximale Anmeldeversuche auf 3, Timeout entsperren auf 900 Sekunden

● CLI:
○ adminaccess option set login-maxattempts 3
○ adminaccess option set login-unlocktimeout 900

 
Der Anwendungsserver muss eine Nutzersitzung automatisch beenden, wenn von der Organisation definierte Bedingungen vorliegen, oder Ereignisse auslösen, die eine Sitzungstrennung erfordern. Das System muss so konfiguriert werden, dass alle Netzwerkverbindungen, die einer Kommunikationssitzung zugeordnet sind, am Ende der Sitzung oder nach 10 Minuten Inaktivität durch den Nutzer an einer Eingabeaufforderung beendet werden, außer zur Erfüllung dokumentierter und validierter Mission-Anforderungen.

DD unterstützt das Beenden von Verbindungen am Ende der Sitzung und das Beenden von Sitzungen nach der konfigurierten Zeit der Inaktivität. Es gibt eine CLI zur Angabe des Inaktivitätszeitraums. Die SSH-Verbindung besteht noch, aber jede Anforderung vom Client wird abgelehnt. Ein Sitzungsbereinigungsprozess wird ausgeführt und beendet Sitzungen, die nicht mehr gültig sind. DD empfiehlt Folgendes für die UI- oder CLI-Sicherheitsverstärkung:

● UI: Administration > Access > Check on HTTPS >
Configure > ADVANCE and set timeout value as 600 sec.
Repeat the same for SSH by clicking SSH in Services.
● CLI:
○ SSH: adminaccess ssh option set sessiontimeout 600
○ https: adminaccess web option set
session-timeout 600

 
Verschiedene Anforderungen an die Kennwortalterung

DD empfiehlt die Option zur Alterung des CLI-Nutzerkennworts. Standardmäßig ist die Kennwortrichtlinie aus Gründen der Abwärtskompatibilität gelockert. Der Kunde kann die Benutzeroberfläche oder die CLIs verwenden, um die Kennwortkonfiguration so zu ändern, dass sie restriktiver ist und die Alterungsanforderungen erfüllt.

• UI: Verwaltung >Zugriff >Weitere Aufgaben>Anmeldung ändern Optionen

Hinweis: Die Option "Pro Nutzer" kann über Administration >Access >Local Users>Modify Advanced > festgelegt werden.
  
● CLI: user password aging

 
Verschiedene Passwörter und Stärkeanforderungen

DD unterstützt eine umfassende Kennwort-Policy und empfiehlt die Verwendung der CLI oder UI, um das Kennwort zu härten. Festlegen oder Ändern der Merkmale und Komplexität der Kontokennwortrichtlinie auf die im Anwendungscode gewünschten Werte Weitere Informationen zu den Anforderungen finden Sie in der Kennwortrichtlinie.

• UI: Verwaltung >Zugriff>Weitere Aufgaben>Anmeldeoptionen ändern
 

● CLI: user password strength set

 
Das Betriebssystem muss bei vernetzten Systemen die Uhren mit einem Server synchronisieren, der mit einem der redundanten Zeitserver des United States Naval Observatory (USNO), einem Zeitserver für das entsprechende DoD-Netzwerk (NIPRNet/SIPRNet) und/oder dem Global Positioning System (GPS) synchronisiert ist. DD empfiehlt die Verwendung der Benutzeroberfläche oder CLI zum Konfigurieren des NTP-Servers. • UI: Verwaltung >Einstellungen >MEHR AUFGABEN>Zeiteinstellungen konfigurieren Geben Sie die NTP-Serverinformationen ein, indem Sie auf das + -Zeichen klicken. 
● CLI: ntp add timeserver <server-name> ntp enable
Der Apache-Webserver muss für die Verwendung einer bestimmten IP-Adresse und eines bestimmten Ports konfiguriert werden.

DD unterstützt verschiedene HTTPS-Ports und die Begrenzung bestimmter Schnittstellen anstelle der Standardeinstellung aller Schnittstellen für HTTPS-Verbindungen. DD empfiehlt die Verwendung des Befehls adminaccess und netfilter CLI zur Sicherheitsverstärkung:

● adminaccess web option set https-port
<port>
● net filter add operation allow protocol
tcp ports <port> interfaces <IP_address>

 

Hinweis: Die IP-Adresse muss eine aktive Schnittstelle sein, die vom Befehl "ifconfig" gemeldet wird.

 

Der Anwendungsserver muss alle mit dem Netzwerk verbundenen Endgeräte eindeutig identifizieren, bevor eine Verbindung hergestellt wird.

Der Apache-Webserver muss eingehende Verbindungen von nicht sicheren Zonen einschränken.

Um eingehende Verbindungen einzuschränken, empfiehlt DD die Konfiguration zulässiger Hosts in HTTPS und SSH-Verbindungen über die Benutzeroberfläche oder den CLI-Befehl.

• UI: Administration > Access > ADMINISTRATOR ACCESS > Wählen Sie HTTPS/SSH > CONFIGURE > GENERAL aus und klicken Sie auf + (Add).

● CLI:
○ adminaccess http add <host_list>
○ adminaccess ssh add <host-list>

 
Benachrichtigungen beim Erreichen der Storage-Kapazität von Auditprotokollen

Eine E-Mail-Warnmeldung kann gesendet werden, wenn der Speicherplatz des Auditprotokolls den Schwellenwert von 80 % und 100 % erreicht. DD empfiehlt die Verwendung der Benutzeroberfläche oder der CLI, um das System für "Send Alert Notification Emails" zu konfigurieren. • UI: Gesundheit >Warnungen >BENACHRICHTIGUNG >ADD (Gruppen auf Dateisystemklasse mit WARNING und CRITICAL und Subscriber CONFIGURE (E-Mail-Adressen und Gruppen hinzufügen)

● CLI:
○ alerts notify-list create <group name
warning> class filesystem severity
warning
○ alerts notify-list add <group name
warning> emails <email>
○ alerts notify-list create <group name
critical> class filesystem severity
critical
○ alerts notify-list add <group name
critical> emails <email>

 
Aktivieren der Auditprotokollweiterleitung: 
DD supports syslog forwarding and recommends using CLI to
set up connection to a remote syslog server.
● log host add <Remote_syslog_Server>
● log host enable

 
Verwenden des Authentifizierungsservers für die Authentifizierung von NutzerInnen vor der Gewährung von Administrationszugriff 
DD supports multiple name servers protocols such as LDAP,
NIS, and AD. DD recommends using OpenLDAP with FIPS
enabled. DD manages only local accounts. DD recommends
using UI or CLI to configure LDAP.
● UI: Administration > Access > Authentication
● CLI: Authentication LDAP commands
Active Directory can also be configured for user logins with
FIPS enabled. However, CIFS data access with AD users is no
longer be supported with that configuration.

 
Das Netzwerkgerät muss SNMP-Endpunkte für das Netzwerkmanagement authentifizieren, bevor eine lokale, Remote- oder Netzwerkverbindung mithilfe einer bidirektionalen Authentifizierung hergestellt wird, die auf Kryptografie basiert. 
DD supports SNMPV3 that is FIPS-compliant. DD
recommends using UI or CLI to configure SNMPV3.
● UI: Administration > Settings > SNMP
● CLI: SNMP commands

 
Der Anwendungsserver muss PIV-Zugangsdaten (Personal Identity Verification) akzeptieren, um auf die Managementschnittstelle zugreifen zu können.

DD unterstützt die Verwendung der vom DoD ausgestellten CAC/PIV-Karte im Clientbrowser für die Anmeldung über die Benutzeroberfläche. Dies ist eine mehrstufige Anmeldung unter Verwendung des Zertifikats der CAC/PIV-Karte. DD empfiehlt einen UI- oder CLI-Befehl, um MFA zu konfigurieren und OpenLDAP für die Nutzerautorisierung einzurichten.

Allgemeines Verfahren:
● Konfigurieren von OpenLDAP CA-Zertifikat in DD importieren.
● DoD-CA in DD
importieren● Lokale Benutzer anlegen (wenn keine LDAP-Authentifizierung verwendet wird).
● Passwortbasierte Anmeldung deaktivieren
Der Anwendungsserver muss für die PKI-basierte Authentifizierung einen lokalen Cache von Widerrufsdaten implementieren, um die Pfaderkennung und -validierung zu unterstützen, falls nicht über das Netzwerk auf Widerrufsinformationen zugegriffen werden kann. 
DD supports CRL on MFA with issuing CA revoking CAC
certificate by importing CRL cert to DD. DD recommends
using CLI to import CRL certificate.
● CLI: adminaccess certificate cert-revokelist import application login-auth

 
Der Apache-Webserver muss so konfiguriert werden, dass der Remotezugriff auf die gehosteten Anwendungen sofort getrennt oder deaktiviert wird. 
DD recommends disabling HTTPS service to terminate all
active sessions by UI or CLI.
● UI: Administration > Access > Administrator Access >
HTTPS > CONFIGURE (clear HTTPS and save).
● CLI: adminaccess disable https

 
Das Betriebssystem Red Hat Enterprise Linux darf keine SSH-Anmeldung eines nicht zertifikatsbasierten vertrauenswürdigen Hosts am System zulassen.

DD unterstützt die SSH-Verbindung über SSH-Schlüssel anstelle der kennwortbasierten Anmeldung. Wenn die kennwortbasierte Anmeldung deaktiviert ist, wird auch die UI-Anmeldung mit Kennwort deaktiviert. DD empfiehlt die Verwendung der CLI zum Importieren des Schlüsselzertifikats und das Deaktivieren der kennwortbasierten SSH-Anmeldung.

● CLI:
○ adminaccess add ssh-keys user
<user_name>
○ adminaccess option set password-auth
disable

 

Hinweis: Für das sysadmin-Konto muss zuerst ein SSH-Schlüssel importiert werden, um die kennwortbasierte Anmeldung zu deaktivieren.

 
Verwenden Sie einen nach FIPS 140-2 genehmigten kryptografischen Hashalgorithmus.

Das System muss einen nach FIPS 140-2 genehmigten kryptografischen Hashalgorithmus verwenden, um Kontokennwort-Hashes zu erzeugen. Systeme müssen kryptografische Hashes für Kennwörter verwenden, die die SHA-2-Algorithmusfamilie oder FIPS 140-2-genehmigte Nachfolger verwenden. Die Verwendung nicht genehmigter Algorithmen kann zu schwachen Passwort-Hashes führen, die anfälliger für Kompromittierungen sind.

 

Hinweis: In der DDOS-Befehlsreferenz-UIde wird beschrieben, wie Sie die adminaccess-Option set passwordhash {md5 | sha512} verwenden.

Befehl zum Festlegen des FIPS 140-2-genehmigten kryptografischen Hashing auf dem System verwenden. Durch Ändern des Hash-Algorithmus wird nicht der Hash-Wert für vorhandene Kennwörter geändert. Alle vorhandenen Kennwörter, die mit md5 gehasht wurden, haben weiterhin md5-Hashwerte, nachdem der Kennwort-Hash-Algorithmus in sha512 geändert wurde. Diese Kennwörter müssen zurückgesetzt werden, damit ein neuer sha512-Hashwert berechnet wird.
Entfernen Sie das Telnet-Serverpaket. 
Telnet can be removed. Run adminaccess uninstall
telnet to remove the telnet package from the DD system.
Hinweis: Wenn Telnet entfernt wird, kann es nicht wieder zum System hinzugefügt werden.

 
Weiterleitung des Auditprotokolls zum Remote-Syslog-Server DD unterstützt die Weiterleitung des lokalen Auditprotokolls an den Syslog-Server.
● CLI 
○ log host add <Remote_syslog_IP>
○ log host enable
Hinweis: Eine entsprechende Konfiguration zum Akzeptieren von System-Syslog auf dem Remote-Syslog-Server ist erforderlich.

 
Zustimmung des Nutzers zum Hinweis- und Zustimmungsbanner 
DD can be configured to prompt for user consent prior to log in to the system UI interface.
● UI: Administration > LOGIN BANNER > CONFIGURE
● CLI: system option set loginbanner /ddr/var/releases/<banner_file>
● Where <banner_file> is uploaded to
DD's /ddr/var/releases as text file

 

Betroffene Produkte

Data Domain
Artikeleigenschaften
Artikelnummer: 000208976
Artikeltyp: How To
Zuletzt geändert: 15 Jan. 2026
Version:  5
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.