Guide de renforcement du système et des pratiques d’excellence Data Domain
Résumé: Le processus de durcissement est double. Traditionnellement, les clients qui cherchent à renforcer un système le font parce qu’ils sont soit sur mandat, soit pratiquent des pratiques informatiques sécurisées. Ces tableaux fournissent à la fois les procédures de renforcement de la sécurité et les mesures d’atténuation pour se conformer à la mise en œuvre technique de la sécurité de l’Agence fédérale des systèmes d’information de la défense (DISA) Interfaces utilisateur (STIG) sur l’appareil. Les informations contenues dans ce guide sont liées à notre dernière version de DDOS 7.10. ...
Instructions
Accès administratif
| Description | Recommandation de renforcement de la sécurité |
| Modifiez le mot de passe par défaut. | Connectez-vous en tant que sysadmin et exécutez # user change password |
| Configurez une rotation fréquente des mots de passe conformément à la stratégie de mots de passe de l’entreprise. |
Suivez la stratégie de mots de passe de l’entreprise pour définir la stratégie d’âge des mots de passe par défaut. # user password aging option set
{[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]}
|
| Configurez une stratégie de mot de passe fort. |
Définissez une stratégie de niveau de sécurité des mots de passe utilisateur : # user password strength set
{[min-length <length>]
[min-character-classes <num-classes>]
[passwords-remembered <0 - 24>][minpositions-changed <min-positions>]}
Recommandations de mots de passe : |
| Activez le responsable de la sécurité. |
Ajoutez un utilisateur doté du rôle de responsable de la sécurité, forcez le changement de mot de passe et activez la politique d’autorisation. Utilisez la commande user add pour ajouter un responsable de la sécurité en tant qu’utilisateur doté d’un rôle de sécurité. # user add <user>
[uid <uid>]
[role {admin | limited-admin | security |
user | backup-operator | none}]
[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]
[disable-date <date>]
[force-password-change {yes | no}]
Définissez force-password-change sur yes lors de l’ajout du compte du responsable de la sécurité. Log in as security officer, and run
# authorization policy set security-officer enabled
|
| Utilisez limited-admin pour les opérations quotidiennes au lieu de admin ou sysadmin. |
Ajoutez un utilisateur doté du rôle limited-admin et définissez un mot de passe différent de celui des utilisateurs dotés du rôle sysadmin/admin. # user add <user>
[uid <uid>]
[role {admin | limited-admin | security |
user | backup-operator | none}]
[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]
[disable-date <date>]
[force-password-change {yes | no}]
|
| Modifiez le mot de passe du responsable de la sécurité créé par sysadmin. |
Log in as security officer, and then run
# user change password |
| Utilisez la liste des clients pour restreindre l’accès uniquement aux hôtes requis. |
For SSH:
● Add an SSH host.
# adminaccess ssh add <host-list>
● Delete hosts from the SSH list.
# adminaccess ssh del <host-list>
For HTTP and HTTPS:
● Add an HTTP/HTTPS host.
# adminaccess http add <host-list>
● Delete hosts from the HTTP/HTTPS list.
# adminaccess http del <host-list>
Remarque : N’utilisez pas de caractère générique permettant l’accès à un utilisateur. Saisissez plutôt des adresses IP individuelles ou des noms de client.
|
Par défaut, les chiffrements par clé statique sont pris en charge, ce qui permet aux scanners de sécurité d’identifier les informations suivantes : La confidentialité persistante parfaite n’est pas prise en charge ». Configurez la liste de chiffrement TLS pour supprimer la prise en charge des chiffrements par clé statique.
From DDOS v7.7, cipher-list can be
modified to support only cipher-suites with
perfect forward secrecy by running following
command: adminaccess option set cipherlist DHE-RSA-AES128-SHA256:DHE-RSA-AES128-
GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSAAES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCMSHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHEECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-
GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHERSA-AES256-SHA384:ECDHE-ECDSA-AES128-
SHA256:ECDHE-RSA-AES128-SHA256
| Surveillez le journal syslog pour surveiller la création d’utilisateurs et d’autres activités sensibles dans le système. |
● Configure and forward logs to syslog server.
● Monitor audit log and access log. See the DDOS Command
Reference UIde for more information.
○ # log view access-info
○ # log view audit-info
● Consider writing a script that runs the above commands
several times a day and reports any suspicious activities.
● Pay close attention to sensitive and not often used
commands that are related to user access management
and network settings, including time setting.
● Monitor authentication and authorization failures in
particular.
● Monitor all operations that require password.
● Monitor destruction operations and any failures and
repeating attempts.
● Highly recommended is to write searches and dashboards
to view log forwarded info. Also setup alerts rules on your
log server. |
| Fournissez des informations d’identification de responsable de la sécurité différentes de celles de l’administrateur système. | Définissez des mots de passe différents pour l’administrateur système, les utilisateurs dotés du rôle d’administrateur et le responsable de la sécurité. |
| Aucune personne ne doit connaître les informations d’identification d’administrateur système et de responsable de la sécurité. | Il est recommandé d’affecter différentes personnes en tant qu’administrateur système et responsable de la sécurité. |
| Utilisez les certificats émis par le datacenter. | Les systèmes DD sont fournis avec des certificats auto-signés. Il est recommandé d’importer les certificats depuis votre datacenter. |
| Utilisez netfilter pour désactiver les ports s’ils ne sont pas nécessaires. | Par exemple, désactivez les ports 111 et 2049 si DD Boost n’est pas utilisé. |
| N’activez pas telnet. |
Disable telnet by running # adminaccess disable telnet |
| Utilisez FTPS et SCP, mais pas FTP. | Par défaut, la fonction FTP est désactivée. Utilisez FTPS et SCP, mais pas FTP. |
| Utilisez SNMP v3 lorsque SNMP est configuré. | Lorsque SNMP est configuré, activez SNMPv3. Assurez-vous que SNMPv1 et SNMPv2c sont désactivés. |
Cryptage
| Description | Recommandation de renforcement de la sécurité |
| Utilisez le gestionnaire de clés externe pour le chiffrement. | Data Domain Encryption : Forum Aux Questions |
| Utilisation d’un algorithme de chiffrement et longueur de clé | Il est recommandé d’utiliser des clés 256 bits et l’algorithme AES en mode GCM. |
| Configurez la phrase secrète du système. |
Set and use a hardened system passphrase. The default
minimum length requirement is 9 characters. Use system
passphrase option set min-length to set higher
length requirements. PowerProtect DD : Définition et modification de la phrase secrète du système |
TLS pour FTP
| Description | Recommandation de renforcement de la sécurité |
| Version TLS | Par défaut, FTPS active TLSv1.2. Les versions TLS TLSv1.0 et TLSv1.1 sont désactivées par défaut. Si nécessaire, utilisez l’option de configuration tls-version fournie pour activer les versions TLS TLSv1.0 et TLSv1.1. |
| Liste de chiffrement | La liste de chiffrement par défaut prend uniquement en charge TLSv1.2. Pour activer TLSv1.0 et TLSv1.1, modifiez la liste de chiffrement en conséquence. |
Réplication
| Description | Recommandation de renforcement de la sécurité |
| Utilisez le chiffrement et l’authentification bidirectionnelle. |
Configure two-way authentication when adding a replication
pair.
# replication add source <source>
destination <destination>
[low-bw-optim {enabled | disabled}]
[encryption {enabled [authentication-mode
{one-way | two-way | anonymous}] |
disabled}]
[propagate-retention-lock {enabled |
disabled}]
[ipversion {ipv4 | ipv6}]
[max-repl-streams <n>]
[destination-tenant-unit <tenant-unit>] |
DD Boost
| Description | Recommandation de renforcement de la sécurité |
| Définissez global-authentication-mode sur two-way-password et activez le chiffrement. |
Par défaut, le mode d’authentification globale est défini sur Aucun et le chiffrement est désactivé. Les configurations garantissent que seuls les clients DD Boost avec au moins la prise en charge de l’authentification par mot de passe bidirectionnelle, ceux qui utilisent DD Boost 3.3 ou une version ultérieure, peuvent se connecter et que les données sont chiffrées sur le réseau.
Remarque : Des configurations plus sécurisées, unidirectionnelles (par client) et bidirectionnelles (globales), sont disponibles. Avec ces paramètres, les clients DD Boost doivent fournir les certificats nécessaires pour se connecter.
# ddboost option set global-authenticationmode two-way-password global-encryptionstrength <high/medium>
|
| Définir la prise en charge du hachage du mot de passe sur SHA512 |
Par défaut, le hachage du mot de passe est défini sur MD5. La modification de ce paramètre en SHA512 empêche les clients DD Boost incapables de prendre en charge SHA512 de se rattacher. # adminaccess option set password-hash
{md5 | sha512}
|
| Configurez les utilisateurs DD Boost avec le rôle none. Remarque : Le rôle none pour les utilisateurs de DD Boost s’applique aux systèmes Data Domain et PowerProtect DD autonomes. Lors de l’intégration de DD Boost avec un logiciel de sauvegarde (c’est-à-dire Avamar), suivez les instructions relatives au rôle d’utilisateur dans la documentation du logiciel de sauvegarde. |
Create a none role user and associates it to be a DD Boost
user.
# user add <user> role none
# ddboost user assign <user> |
| Limitez l’attribution d’un utilisateur DD Boost à une seule unité de stockage. | N’attribuez pas le même utilisateur DD Boost à plusieurs unités de stockage DD Boost. Cela limite le nombre de clients DD Boost partageant les mêmes informations d’identification DD Boost. |
| Utilisez la liste des clients pour limiter l’accès. |
# ddboost clients add client-list [encryption-strength {none | medium | high} authentication-mode {one-way | two-way | twoway-password | anonymous | kerberos}]
Remarque : Lors de la configuration, n’utilisez pas de caractère générique permettant l’accès à un utilisateur. Saisissez plutôt des adresses IP individuelles ou des noms de client.
|
| Activez le chiffrement avec authentification bidirectionnelle pour la réplication de fichiers gérés. |
Utilisez le mode d’authentification bidirectionnelle. # ddboost file-replication option set
encryption enabled authentication-mode twoway
|
| Configurez le port NFS pour utiliser autre chose que 2049 afin d’empêcher l’accès client NFSv3. |
# nfs option set nfs3-port <new port number>
# nfs option set nfs4-port <new port number> |
| Utilisez Kerberos pour BoostFS. | Les clients qui se connectent au système DD à l’aide de BoostFS sont invités à utiliser la prise en charge Kerberos uniquement si FIPS n’est pas envisageable. La prise en charge Active Directory du système DD doit être configurée. Pour configurer les clients BoostFS afin qu’ils utilisent Kerberos, reportez-vous à l’interface utilisateur de configuration DD BoostFS spécifique à la plate-forme |
| Utilisez les paramètres de sécurité par défaut d’Avamar pour la connectivité DD Boost si vous utilisez Avamar. | Par défaut, Avamar utilise des certificats TLS bidirectionnels, le chiffrement et l’accès par token pour les clients. Il est recommandé de conserver la valeur par défaut. |
| Si DD Boost ou NFS n’est pas utilisé, utilisez l’option netfilter pour désactiver le port portmapper 111. |
# net filter add operation block protocol
tcp ports 111
# net filter add operation block protocol
udp ports 111 |
NFS
| Description | Recommandation de renforcement de la sécurité |
| Configurez Kerberos avec le chiffrement. |
Ensures that data on the wire is encrypted.
# nfs export create <export name> path
<path> option sec=krb5p |
| Spécifiez la liste des hôtes qui peuvent accéder à l’exportation. |
Delete NFS clients from an export
# nfs add <path> <client-list> [ ( <optionlist> ) ]
Delete NFS clients from an export.
# nfs del <path> <client-list>
Remarque : Lors de la configuration, n’utilisez pas de caractère générique permettant l’accès à un utilisateur. Saisissez plutôt des adresses IP individuelles ou des noms de client.
|
| Ne pas utiliser no_root_squash |
Vérifiez à l’aide de la commande suivante : # nfs export show list
Doit vérifier no_root_squash n’est configuré pour aucune exportation. |
VTL/vDisk
| Description | Recommandations de renforcement de la sécurité |
| Utilisez les options par défaut. | Les options par défaut existantes sont considérées comme des pratiques d’excellence. |
Normes
DISA STIGLe tableau suivant contient les règles DISA STIG/SRG avec les étapes de renforcement correspondantes.
Ces recommandations peuvent être utilisées pour se conformer aux normes DISA STIG pour le type d’appareil.
| Description | Recommandation de renforcement de la sécurité |
| Activez le chiffrement certifié FIPS 140-2. | DD prend uniquement en charge l’utilisation de chiffrements certifiés FIPS 140-2 pour les connexions sécurisées. DD recommande d’utiliser l’interface utilisateur ou l’interface de ligne de commande pour activer le mode FIPS : ● Interface utilisateur : Administration > Paramètres > Mode FIPS ● CLI : system fips-mode enable |
| Le serveur d’applications doit limiter le nombre de sessions simultanées à un nombre défini par l’organisation pour tous les comptes et types de comptes. | DD recommande un renforcement de l’interface utilisateur ou de l’interface de ligne de commande : ● Interface utilisateur : Administration > Access > More Tasks > Change Login Options (pour définir la connexion active sur 100) ● CLI : adminaccess option set login-maxactive 100 |
| Le périphérique réseau doit être configuré de manière à appliquer la limite de trois connexions non valides consécutives dans les tentatives, après quoi il doit bloquer toute tentative de connexion pendant 15 minutes. | DD recommande d’utiliser l’interface utilisateur ou l’interface de ligne de commande pour configurer : ● Interface utilisateur : Administration > Access > More Tasks Modification > de la valeur du nombre maximal de tentatives de connexion à 3, délai d’expiration de déverrouillage de 900 s |
Normes DISA STIG
| Description | Recommandation de renforcement de la sécurité |
| Activez le chiffrement certifié FIPS 140-2. |
DD supports use of only FIPS 140-2 approved ciphers for
secured connections. DD recommends using UI or CLI to
enable FIPS mode:
● UI: Administration > Setting > FIPS mode
● CLI: system fips-mode enable |
| Le serveur d’applications doit limiter le nombre de sessions simultanées à un nombre défini par l’organisation pour tous les comptes et types de comptes. |
DD recommends UI or CLI hardening:
● UI: Administration > Access > More Tasks > Change
Login Options (to set active login to 100)
● CLI: adminaccess option set login-maxactive 100 |
| Le périphérique réseau doit être configuré de manière à appliquer la limite de trois connexions non valides consécutives dans les tentatives, après quoi il doit bloquer toute tentative de connexion pendant 15 minutes. |
DD recommande d’utiliser l’interface utilisateur ou l’interface de ligne de commande pour configurer : ● CLI:
○ adminaccess option set login-maxattempts 3
○ adminaccess option set login-unlocktimeout 900
|
| Le serveur d’applications doit automatiquement mettre fin à une session utilisateur après des conditions définies par l’organisation ou des événements déclencheurs nécessitant une déconnexion de session. Le système doit être configuré de sorte que toutes les connexions réseau associées à une session de communication soient interrompues à la fin de la session ou après 10 minutes d’inactivité de l’utilisateur à l’invite de commande, sauf pour répondre à des exigences de mission documentées et validées. |
DD prend en charge la fin des connexions à la fin de la session et la fin de la session de support après une période d’inactivité configurée. Il existe une CLI permettant de spécifier la période d’inactivité. La connexion SSH est toujours active, mais toute demande du client est rejetée. Un processus de nettoyage de session est en cours d’exécution et met fin aux sessions qui ne sont plus valides. DD recommande ce qui suit pour le renforcement de l’interface utilisateur ou de l’interface de ligne de commande : ● UI: Administration > Access > Check on HTTPS >
Configure > ADVANCE and set timeout value as 600 sec.
Repeat the same for SSH by clicking SSH in Services.
● CLI:
○ SSH: adminaccess ssh option set sessiontimeout 600
○ https: adminaccess web option set
session-timeout 600
|
| Diverses exigences relatives à l’âge des mots de passe |
DD recommande l’option d’âge du mot de passe utilisateur de l’interface CLI. Par défaut, la politique de mot de passe est assouplie pour assurer la compatibilité descendante. Le client peut utiliser l’interface utilisateur ou les CLI pour modifier la configuration du mot de passe afin qu’elle soit plus restrictive et réponde aux exigences d’ancienneté. • Interface utilisateur : Administration >Accès >Plus de tâches>Changer d’identifiant Options
Remarque : L’option par utilisateur peut être définie via Administration >Access >Local Users>Modify >Advanced
● CLI: user password aging
|
| Diverses exigences en matière de mots de passe et de force |
DD prend en charge une politique de mots de passe complète et recommande d’utiliser l’interface de ligne de commande ou l’interface utilisateur pour renforcer le mot de passe. Définissez ou modifiez les caractéristiques et la complexité de la stratégie de mot de passe du compte en fonction de ce qui est souhaité dans le code de l’application. Consultez la stratégie de mots de passe pour plus d’informations sur les exigences. • Interface utilisateur : Administration >Accès>Plus de tâches>Modifier les options de connexion ● CLI: user password strength set
|
| Le système d’exploitation doit, pour les systèmes en réseau, synchroniser les horloges avec un serveur synchronisé avec l’un des serveurs de temps redondants de l’Observatoire naval des États-Unis (USNO), un serveur de temps désigné pour le réseau du DoD approprié (NIPRNet/SIPRNet) et/ou le système de positionnement global (GPS). | DD recommande d’utiliser l’interface utilisateur ou la CLI pour configurer le serveur NTP. • Interface utilisateur : Administration >Paramètres >PLUS DE TÂCHES>Configurer les paramètres d’heure Saisissez les informations du serveur NTP en cliquant sur le signe +.
● CLI: ntp add timeserver <server-name> ntp enable |
| Apache Web Server doit être configuré pour utiliser une adresse IP et un port spécifiés. |
DD prend en charge différents ports HTTPS et limite certaines interfaces au lieu de toutes les interfaces par défaut pour les connexions HTTPS. DD recommande d’utiliser la commande CLI adminaccess et netfilter pour renforcer : ● adminaccess web option set https-port
<port>
● net filter add operation allow protocol
tcp ports <port> interfaces <IP_address>
Remarque : L’adresse IP doit être une interface active signalée par la commande ifconfig.
|
|
Le serveur d’applications doit identifier de manière unique tous les points de terminaison connectés au réseau avant d’établir une connexion. Apache Web Server doit restreindre les connexions entrantes issues de zones non sécurisées. |
Pour limiter les connexions entrantes, DD recommande de configurer l’hôte autorisé dans les connexions HTTPS et SSH à l’aide de l’interface utilisateur ou de la commande CLI. • Interface utilisateur : Accès > administrateur > ACCÈS ADMINISTRATEUR > sélectionnez HTTPS/SSH > CONFIGURE > GENERAL et cliquez sur le signe + (Ajouter). ● CLI:
○ adminaccess http add <host_list>
○ adminaccess ssh add <host-list>
|
| Notifications lorsque la capacité de stockage du journal d’audit est atteinte |
Une alerte par e-mail peut être envoyée lorsque l’espace de stockage des journaux d’audit atteint un seuil de 80 % et de 100 %. DD recommande d’utiliser l’interface utilisateur ou l’interface de ligne de commande pour configurer le système sur « Send Alert Notification Emails ». • Interface utilisateur : Santé >Alertes >NOTIFICATION >ADD (Groups on file system Class with WARNING et CRITICAL et Subscriber CONFIGURE (Add email addresses and Groups) ● CLI:
○ alerts notify-list create <group name
warning> class filesystem severity
warning
○ alerts notify-list add <group name
warning> emails <email>
○ alerts notify-list create <group name
critical> class filesystem severity
critical
○ alerts notify-list add <group name
critical> emails <email>
|
| Activation du transfert des journaux d’audit : |
DD supports syslog forwarding and recommends using CLI to
set up connection to a remote syslog server.
● log host add <Remote_syslog_Server>
● log host enable
|
| Utilisation du serveur d’authentification pour authentifier les utilisateurs avant d’accorder un accès administrateur. |
DD supports multiple name servers protocols such as LDAP,
NIS, and AD. DD recommends using OpenLDAP with FIPS
enabled. DD manages only local accounts. DD recommends
using UI or CLI to configure LDAP.
● UI: Administration > Access > Authentication
● CLI: Authentication LDAP commands
Active Directory can also be configured for user logins with
FIPS enabled. However, CIFS data access with AD users is no
longer be supported with that configuration. |
| Le périphérique réseau doit authentifier les points de terminaison SNMP de gestion réseau avant d’établir une connexion locale, distante ou réseau à l’aide d’une authentification bidirectionnelle basée sur un chiffrement. |
DD supports SNMPV3 that is FIPS-compliant. DD
recommends using UI or CLI to configure SNMPV3.
● UI: Administration > Settings > SNMP
● CLI: SNMP commands |
| Le serveur d’applications doit accepter les informations d’identification PIV (Personal Identity Verification) pour accéder à l’interface de gestion. |
DD prend en charge l’utilisation d’une carte CAC/PIV émise par le DoD dans le navigateur client pour se connecter à l’aide de l’interface utilisateur. Il s’agit d’une connexion multifacteur à l’aide du certificat de la carte CAC/PIV. DD recommande l’interface utilisateur ou la commande CLI pour configurer l’authentification multifacteur et configurer OpenLDAP pour l’autorisation utilisateur. Procédure générale : |
| Pour l’authentification basée sur une infrastructure à clé publique, le serveur d’applications doit implémenter un cache local de données de révocation pour prendre en charge la découverte et la validation des chemins en cas d’impossibilité d’accéder aux informations de révocation sur le réseau. |
DD supports CRL on MFA with issuing CA revoking CAC
certificate by importing CRL cert to DD. DD recommends
using CLI to import CRL certificate.
● CLI: adminaccess certificate cert-revokelist import application login-auth |
| Apache Web Server doit être configuré pour se déconnecter immédiatement ou désactiver l’accès distant aux applications hébergées. |
DD recommends disabling HTTPS service to terminate all
active sessions by UI or CLI.
● UI: Administration > Access > Administrator Access >
HTTPS > CONFIGURE (clear HTTPS and save).
● CLI: adminaccess disable https |
| Le système d’exploitation Red Hat Enterprise Linux ne doit pas autoriser une connexion SSH d’hôte de confiance sans certificat au système. |
DD prend en charge la connexion SSH à l’aide de clés SSH au lieu d’une connexion par mot de passe. Si la connexion par mot de passe est désactivée, la connexion de l’interface utilisateur à l’aide d’un mot de passe est également désactivée. DD recommande d’utiliser l’interface de ligne de commande pour importer le certificat de clé et désactiver la connexion SSH par mot de passe. ● CLI:
○ adminaccess add ssh-keys user
<user_name>
○ adminaccess option set password-auth
disable
Remarque : La clé SSH doit d’abord être importée sur le compte sysadmin pour désactiver la connexion par mot de passe.
|
| Utilisez un algorithme de hachage cryptographique certifié FIPS 140-2. |
Le système doit utiliser un algorithme de hachage cryptographique approuvé par la norme FIPS 140-2 pour générer des hachages de mot de passe de compte. Les systèmes doivent utiliser des hachages cryptographiques pour les mots de passe à l’aide de la famille d’algorithmes SHA-2 ou de leurs successeurs approuvés par FIPS 140-2. L’utilisation d’algorithmes non approuvés peut entraîner des hachages de mot de passe faibles et les rendre plus vulnérables à la compromission.
Remarque : L’interface utilisateur de référence des commandes DDOS explique comment utiliser l’option adminaccess set passwordhash {md5 | sha512}
pour activer le hachage cryptographique certifié FIPS 140-2 sur le système. La modification de l’algorithme de hachage ne modifie pas la valeur de hachage des mots de passe existants. Tous les mots de passe existants qui ont été hachés avec md5 auront toujours des valeurs de hachage md5 après la modification de l’algorithme de hachage du mot de passe en sha512. Ces mots de passe doivent être réinitialisés afin qu’une nouvelle valeur de hachage sha512 soit calculée. |
| Supprimez le package telnet-server. |
Telnet can be removed. Run adminaccess uninstall
telnet to remove the telnet package from the DD system.
Remarque : Si telnet est supprimé, il ne peut pas être rajouté au système.
|
| Transfert des journaux d’audit vers le serveur syslog distant | DD prend en charge le transfert du journal d’audit local vers le serveur syslog. ● CLI ○ log host add <Remote_syslog_IP>
○ log host enable
Remarque : La configuration correspondante pour accepter le journal syslog système sur le serveur Syslog distant est requise.
|
| Consentement de l’utilisateur à l’avis et à la bannière de consentement |
DD can be configured to prompt for user consent prior to log in to the system UI interface.
● UI: Administration > LOGIN BANNER > CONFIGURE
● CLI: system option set loginbanner /ddr/var/releases/<banner_file>
● Where <banner_file> is uploaded to
DD's /ddr/var/releases as text file |