Data Domain. Руководство по защите системы и передовым практикам

Чтобы установить политику срока действия паролей по умолчанию, следуйте политике паролей компании.

# user password aging option set
{[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]}

Установите политику надежности пароля пользователя:

# user password strength set
{[min-length <length>]
[min-character-classes <num-classes>]
[passwords-remembered <0 - 24>][minpositions-changed <min-positions>]}

Рекомендации по паролям:
● Минимум 12 символов
● Без пробелов
● Нет общих словарных слов
● Минимум 8 позиций должны быть изменены во время смены пароля
 

Добавьте роль пользователя сотрудника службы безопасности, принудительно измените пароль и включите политику авторизации. Используйте команду user add, чтобы добавить сотрудника службы безопасности в качестве пользователя с ролью безопасности.

# user add <user>
[uid <uid>]
[role {admin | limited-admin | security |
user | backup-operator | none}]
[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]
[disable-date <date>]
[force-password-change {yes | no}]

При добавлении учетной записи сотрудника службы безопасности задайте для параметра force-password-change значение yes.

Log in as security officer, and run 
# authorization policy set security-officer enabled

Добавьте пользователя с ограниченной ролью администратора и задайте пароль, отличающийся для пользователей с ролями sysadmin/admin.

# user add <user>
[uid <uid>]
[role {admin | limited-admin | security |
user | backup-operator | none}]
[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]
[disable-date <date>]
[force-password-change {yes | no}]

Log in as security officer, and then run 
# user change password

For SSH:
● Add an SSH host.
# adminaccess ssh add <host-list>
● Delete hosts from the SSH list.
# adminaccess ssh del <host-list>
For HTTP and HTTPS:
● Add an HTTP/HTTPS host.
# adminaccess http add <host-list>
● Delete hosts from the HTTP/HTTPS list.
# adminaccess http del <host-list>

● Configure and forward logs to syslog server.
● Monitor audit log and access log. See the DDOS Command
Reference UIde for more information.
○ # log view access-info
○ # log view audit-info
● Consider writing a script that runs the above commands
several times a day and reports any suspicious activities.
● Pay close attention to sensitive and not often used
commands that are related to user access management
and network settings, including time setting.
● Monitor authentication and authorization failures in
particular.
● Monitor all operations that require password.
● Monitor destruction operations and any failures and
repeating attempts.
● Highly recommended is to write searches and dashboards
to view log forwarded info. Also setup alerts rules on your
log server.

Disable telnet by running # adminaccess disable telnet

Set and use a hardened system passphrase. The default
minimum length requirement is 9 characters. Use system
passphrase option set min-length to set higher
length requirements. 

Configure two-way authentication when adding a replication
pair.
# replication add source <source>
destination <destination>
[low-bw-optim {enabled | disabled}]
[encryption {enabled [authentication-mode
{one-way | two-way | anonymous}] |
disabled}]
[propagate-retention-lock {enabled |
disabled}]
[ipversion {ipv4 | ipv6}]
[max-repl-streams <n>]
[destination-tenant-unit <tenant-unit>]

По умолчанию для режима глобальной проверки подлинности установлено значение none, а шифрование отключено. Конфигурации обеспечивают подключение только клиентов DD Boost с поддержкой как минимум двусторонней проверки подлинности по паролю, использующих DD Boost 3.3 или более позднюю версию, а данные шифруются по сети. 

# ddboost option set global-authenticationmode two-way-password global-encryptionstrength <high/medium>

По умолчанию для хэша пароля установлено значение MD5. Изменение этого значения на SHA512 предотвратит невозможность поддержки SHA512 клиентами DD Boost.

 # adminaccess option set password-hash
{md5 | sha512}

Create a none role user and associates it to be a DD Boost
user.
 # user add <user> role none
# ddboost user assign <user> 

# ddboost clients add client-list [encryption-strength {none | medium | high} authentication-mode {one-way | two-way | twoway-password | anonymous | kerberos}]

Используйте режим двусторонней аутентификации.

# ddboost file-replication option set
encryption enabled authentication-mode twoway

# nfs option set nfs3-port <new port number>
# nfs option set nfs4-port <new port number>

# net filter add operation block protocol
tcp ports 111

# net filter add operation block protocol
udp ports 111

Ensures that data on the wire is encrypted.
# nfs export create <export name> path
<path> option sec=krb5p

Delete NFS clients from an export
# nfs add <path> <client-list> [ ( <optionlist> ) ]
Delete NFS clients from an export.
# nfs del <path> <client-list>

Выполните проверку с помощью следующей команды:

# nfs export show list

Необходимо убедиться no_root_squash не настроен для каких-либо экспортируемых каталогов.

DD supports use of only FIPS 140-2 approved ciphers for
secured connections. DD recommends using UI or CLI to
enable FIPS mode:
● UI: Administration > Setting > FIPS mode
● CLI: system fips-mode enable

DD recommends UI or CLI hardening:
● UI: Administration > Access > More Tasks > Change
Login Options (to set active login to 100)
● CLI: adminaccess option set login-maxactive 100

DD рекомендует использовать пользовательский интерфейс или интерфейс командной строки для настройки:
● Пользовательский интерфейс: Административный > доступ > Дополнительные задачи > Изменить значение при максимальном количестве попыток входа в систему на 3, время ожидания разблокировки на 900 с

● CLI:
○ adminaccess option set login-maxattempts 3
○ adminaccess option set login-unlocktimeout 900

DD поддерживает прерывание подключений в конце сессии и завершение сессии поддержки после заданного времени бездействия. Существует интерфейс командной строки для указания периода неактивности. Подключение по протоколу SSH все еще активно, но все запросы от клиента отклоняются. В настоящее время выполняется процесс очистки сеанса, выполняется очистка и завершается сессия, которые больше не действительны. DD рекомендует выполнить следующие действия для усиления безопасности пользовательского интерфейса или интерфейса командной строки:

● UI: Administration > Access > Check on HTTPS >
Configure > ADVANCE and set timeout value as 600 sec.
Repeat the same for SSH by clicking SSH in Services.
● CLI:
○ SSH: adminaccess ssh option set sessiontimeout 600
○ https: adminaccess web option set
session-timeout 600

DD рекомендует использовать вариант «Устаревание пароля пользователя» в интерфейсе командной строки. По умолчанию политика паролей ослаблена для обеспечения обратной совместимости. Клиент может использовать пользовательский интерфейс или интерфейс командной строки для изменения конфигурации пароля, чтобы она была более строгой и соответствовала устаревшим требованиям.

● Пользовательский интерфейс: Администрирования >Доступа >Больше задач>Изменить логин Параметры

● CLI: user password aging

DD поддерживает комплексную политику паролей и рекомендует использовать интерфейс командной строки или пользовательский интерфейс для усиления защиты пароля. Задайте или измените характеристики и сложность политики паролей учетных записей на все, что необходимо в коде приложения. Дополнительные сведения о требованиях см. в политике паролей.

● Пользовательский интерфейс: Администрирования >Доступа>Больше задач>Изменитьпараметры входа
 

● CLI: user password strength set

● CLI: ntp add timeserver <server-name> ntp enable

DD поддерживает разные порты HTTPS и ограничение определенного интерфейса вместо всех интерфейсов по умолчанию для HTTPS-соединений. DD рекомендует использовать adminaccess и команду интерфейса командной строки netfilter для усиления:

● adminaccess web option set https-port
<port>
● net filter add operation allow protocol
tcp ports <port> interfaces <IP_address>

Прежде чем устанавливать какое-либо подключение, сервер приложений должен уникальным образом идентифицировать все подключенные к сети конечные устройства.

Веб-сервер Apache должен ограничивать входящие соединения из незащищенных зон.

Чтобы ограничить входящие подключения, DD рекомендует настроить разрешенные хосты в соединениях HTTPS и SSH с помощью пользовательского интерфейса или команды CLI.

● Пользовательский интерфейс: Доступ администратора > ДОСТУП > АДМИНИСТРАТОРА ВЫБЕРИТЕ > HTTPS/SSH > CONFIGURE > GENERAL и нажмите знак + (Add).

● CLI:
○ adminaccess http add <host_list>
○ adminaccess ssh add <host-list>

Оповещение по электронной почте может быть отправлено, когда объем хранилища журнала аудита достигает 80% и порогового значения 100%. DD рекомендует использовать пользовательский интерфейс или интерфейс командной строки, чтобы настроить систему для отправки оповещений по электронной почте. ● Пользовательский интерфейс: Здоровье >Оповещения >УВЕДОМЛЕНИЯ >ADD (группы в классе файловой системы с WARNING и CRITICAL и подписчиком CONFIGURE (добавление адресов электронной почты и групп)

● CLI:
○ alerts notify-list create <group name
warning> class filesystem severity
warning
○ alerts notify-list add <group name
warning> emails <email>
○ alerts notify-list create <group name
critical> class filesystem severity
critical
○ alerts notify-list add <group name
critical> emails <email>

DD supports syslog forwarding and recommends using CLI to
set up connection to a remote syslog server.
● log host add <Remote_syslog_Server>
● log host enable

DD supports multiple name servers protocols such as LDAP,
NIS, and AD. DD recommends using OpenLDAP with FIPS
enabled. DD manages only local accounts. DD recommends
using UI or CLI to configure LDAP.
● UI: Administration > Access > Authentication
● CLI: Authentication LDAP commands
Active Directory can also be configured for user logins with
FIPS enabled. However, CIFS data access with AD users is no
longer be supported with that configuration.

DD supports SNMPV3 that is FIPS-compliant. DD
recommends using UI or CLI to configure SNMPV3.
● UI: Administration > Settings > SNMP
● CLI: SNMP commands

DD поддерживает использование карты CAC/PIV, выданной Министерством обороны, в клиентском браузере для входа в систему с помощью пользовательского интерфейса. Это многофакторный вход с использованием сертификата карты CAC/PIV. DD рекомендует выполнить команду пользовательского интерфейса или CLI, чтобы настроить MFA и OpenLDAP для авторизации пользователей.

Общая процедура:
● Настройка сертификата ЦС импорта OpenLDAP в DD.
● Импорт ЦС DoD в DD
● Создание локальных пользователей (если аутентификация LDAP не используется).
● Отключите вход по паролю

DD supports CRL on MFA with issuing CA revoking CAC
certificate by importing CRL cert to DD. DD recommends
using CLI to import CRL certificate.
● CLI: adminaccess certificate cert-revokelist import application login-auth

DD recommends disabling HTTPS service to terminate all
active sessions by UI or CLI.
● UI: Administration > Access > Administrator Access >
HTTPS > CONFIGURE (clear HTTPS and save).
● CLI: adminaccess disable https

DD поддерживает SSH-подключение с использованием ключей SSH вместо входа по паролю. Если вход с использованием пароля отключен, вход в пользовательский интерфейс с помощью пароля также отключается. DD рекомендует использовать интерфейс командной строки для импорта сертификата ключа и отключить вход по SSH с использованием пароля.

● CLI:
○ adminaccess add ssh-keys user
<user_name>
○ adminaccess option set password-auth
disable

Для создания хэшей паролей учетных записей в системе должен использоваться одобренный стандартом FIPS 140-2 криптографический алгоритм хеширования. В системах должны использоваться криптографические хэши для паролей с использованием семейства алгоритмов SHA-2 или утвержденных FIPS 140-2 преемников. Использование неутвержденных алгоритмов может привести к тому, что слабые хеши паролей станут более уязвимыми для компрометации.

для настройки криптографического хеширования, утвержденного по FIPS 140-2, в системе. Изменение алгоритма хэширования не приводит к изменению хэш-значения для любых существующих паролей. Все существующие пароли, которые были хэшированы с помощью md5, по-прежнему будут иметь значения хэша md5 после изменения алгоритма хэширования паролей на sha512. Эти пароли должны быть сброшены, чтобы было вычислено новое значение хэша sha512.

Telnet can be removed. Run adminaccess uninstall
telnet to remove the telnet package from the DD system.

○ log host add <Remote_syslog_IP>
○ log host enable

DD can be configured to prompt for user consent prior to log in to the system UI interface.
● UI: Administration > LOGIN BANNER > CONFIGURE
● CLI: system option set loginbanner /ddr/var/releases/<banner_file>
● Where <banner_file> is uploaded to
DD's /ddr/var/releases as text file