Data Domain - Sistem sertleşmesi ve en iyi uygulamalar rehberi

Summary: Sertleştirme işlemi iki yönlüdür. Geleneksel olarak, bir sistemi sağlamlaştırmak isteyen müşteriler bunu şu nedenlerle yaparlar: ya yetki altında ya da güvenli bilgi işlem uygulamaları uyguluyorlar. Bu tablolar hem sağlamlaştırma prosedürlerini hem de Federal Savunma Bilgi Sistemleri Ajansı (DISA) Güvenlik Teknik Uygulamasına uymak için azaltma adımları Cihazdaki UIde'ler (STIG'ler). Bu rehberdeki bilgiler en son DDOS sürüm 7.10 ile ilgilidir. ...

Bu makale şunlar için geçerlidir: Bu makale şunlar için geçerli değildir: Bu makale, belirli bir ürüne bağlı değildir. Bu makalede tüm ürün sürümleri tanımlanmamıştır.

Instructions

Yönetim erişimi

Açıklama Sağlamlaştırma önerisi
Varsayılan parolayı değiştirin. Sysadmin olarak oturum açın ve # user change password komutunu çalıştırın 
Şirketin parola politikasına göre sık parola rotasyonu yapılandırın.

Varsayılan parola eskime ilkesini ayarlamak için şirket parolası ilkesini izleyin.

# user password aging option set
{[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]}

 

Güçlü bir parola politikası yapılandırın.

Bir kullanıcı parolası gücü politikası ayarlayın:

# user password strength set
{[min-length <length>]
[min-character-classes <num-classes>]
[passwords-remembered <0 - 24>][minpositions-changed <min-positions>]}

Şifre önerileri:
● En az 12 karakter
● Boşluk
yok● Ortak sözlük kelimeleri
yok● Şifre değişikliği sırasında minimum 8 pozisyon değiştirilmelidir

 

Güvenlik görevlisini etkinleştirin. 

Güvenlik görevlisi rolü kullanıcısı ekleyin, parola değişikliğini zorunlu kılın ve Yetkilendirme İlkesi'ni etkinleştirin. Güvenlik görevlisini güvenlik rolü kullanıcısı olarak eklemek için user add komutunu kullanın.

# user add <user>
[uid <uid>]
[role {admin | limited-admin | security |
user | backup-operator | none}]
[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]
[disable-date <date>]
[force-password-change {yes | no}]

Güvenlik görevlisi hesabını eklerken force-password-change öğesini evet olarak ayarlayın.

Log in as security officer, and run 
# authorization policy set security-officer enabled


 

Günlük işlemler için admin veya sysadmin yerine limited-admin kullanın.

Sınırlı yönetici rolüne sahip bir kullanıcı ekleyin ve sistem yöneticisi/yönetici rolü kullanıcıları için farklı bir parola belirleyin.

# user add <user>
[uid <uid>]
[role {admin | limited-admin | security |
user | backup-operator | none}]
[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]
[disable-date <date>]
[force-password-change {yes | no}]

 

sysadmin tarafından oluşturulan güvenlik görevlisinin parolasını değiştirin.
Log in as security officer, and then run 
# user change password
Erişimi yalnızca gerekli ana bilgisayarlarla kısıtlamak için istemci listesini kullanın.
For SSH:
● Add an SSH host.
# adminaccess ssh add <host-list>
● Delete hosts from the SSH list.
# adminaccess ssh del <host-list>
For HTTP and HTTPS:
● Add an HTTP/HTTPS host.
# adminaccess http add <host-list>
● Delete hosts from the HTTP/HTTPS list.
# adminaccess http del <host-list>
Not: Herhangi bir kullanıcı için erişim sağlayan bir joker karakter kullanmayın. Bunun yerine tek tek IP adreslerini veya istemci adlarını yazın. 

 
Varsayılan olarak, güvenlik tarayıcılarının "Zayıf şifre grupları algılandı: Mükemmel İletim Gizliliği desteklenmiyor" güvenlik açığı. Destek statik anahtar şifrelerini kaldırmak için TLS şifreleme listesini yapılandırın.

From DDOS v7.7, cipher-list can be
modified to support only cipher-suites with
perfect forward secrecy by running following
command: adminaccess option set cipherlist DHE-RSA-AES128-SHA256:DHE-RSA-AES128-
GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSAAES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCMSHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHEECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-
GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHERSA-AES256-SHA384:ECDHE-ECDSA-AES128-
SHA256:ECDHE-RSA-AES128-SHA256

 

Sistemdeki kullanıcı oluşturma ve diğer hassas etkinlikleri izlemek için sistem günlüğünü izleyin.
● Configure and forward logs to syslog server.
● Monitor audit log and access log. See the DDOS Command
Reference UIde for more information.
○ # log view access-info
○ # log view audit-info
● Consider writing a script that runs the above commands
several times a day and reports any suspicious activities.
● Pay close attention to sensitive and not often used
commands that are related to user access management
and network settings, including time setting.
● Monitor authentication and authorization failures in
particular.
● Monitor all operations that require password.
● Monitor destruction operations and any failures and
repeating attempts.
● Highly recommended is to write searches and dashboards
to view log forwarded info. Also setup alerts rules on your
log server.
Sysadmin'den farklı bir güvenlik görevlisi kimlik bilgileri sağlayın. Sistem yöneticisi, yönetici rolündeki kullanıcılar ve güvenlik görevlisi için farklı parolalar ayarlayın.
Sysadmin ve güvenlik görevlisi kimlik bilgilerini tek bir kişi bile bilmemelidir. Sistem yöneticisi ve güvenlik görevlisi olarak farklı kişilerin olması önerilir.
Veri merkezi tarafından verilen sertifikaları kullanın. DD sistemleri, kendinden imzalı sertifikalarla birlikte gelir. Sertifikaları veri merkezinizden içe aktarmanız önerilir.
Gerekli değilse bağlantı noktalarını devre dışı bırakmak için netfilter kullanın. Örneğin, DD Boost kullanımda değilse 111 ve 2049 numaralı bağlantı noktalarını devre dışı bırakın.
Telnet'i etkinleştirmeyin.
Disable telnet by running # adminaccess disable telnet
FTPS ve SCP kullanın, ancak FTP kullanmayın. FTP varsayılan olarak devre dışıdır. FTPS ve SCP kullanın, ancak FTP kullanmayın.
SNMP yapılandırıldığında SNMP v3 kullanın. SNMP yapılandırıldığında SNMPv3'ü etkinleştirin.
SNMPv1 ve SNMPv2c'nin devre dışı olduğundan emin olun.



Şifreleme 

Açıklama Sağlamlaştırma önerisi
Şifreleme için harici anahtar yöneticisi kullanın. Data Domain Encryption - Sık Sorulan Sorular
Şifreleme algoritmasının kullanımı ve anahtar uzunluğu Öneri, GCM modunda 256 bit anahtarlar ve AES algoritması kullanmaktır.
Sistem anahtar parolasını yapılandırın.
Set and use a hardened system passphrase. The default
minimum length requirement is 9 characters. Use system
passphrase option set min-length to set higher
length requirements. 

PowerProtect DD: Sistem Anahtar Parolasını Ayarlama ve Değiştirme


FTP için TLS 

Açıklama  Sağlamlaştırma önerisi
TLS sürümü Varsayılan olarak FTPS, TLSv1.2'yi etkinleştirir. TLS sürümleri TLSv1.0 ve TLSv1.1 varsayılan olarak devre dışıdır. Gerekirse TLS sürümleri TLSv1.0 ve TLSv1.1'i etkinleştirmek için sağlanan tls sürümü yapılandırma seçeneğini kullanın.
Şifre listesi Varsayılan şifre listesi yalnızca TLSv1.2'yi destekler. TLSv1.0 ve TLSv1.1'i etkinleştirmek için şifre listesini uygun şekilde değiştirin.


Çoğaltma 

Açıklama  Sağlamlaştırma önerisi
Şifreleme ve iki yönlü kimlik doğrulama kullanın.
Configure two-way authentication when adding a replication
pair.
# replication add source <source>
destination <destination>
[low-bw-optim {enabled | disabled}]
[encryption {enabled [authentication-mode
{one-way | two-way | anonymous}] |
disabled}]
[propagate-retention-lock {enabled |
disabled}]
[ipversion {ipv4 | ipv6}]
[max-repl-streams <n>]
[destination-tenant-unit <tenant-unit>]

 

DD Boost

Açıklama Sağlamlaştırma önerisi
Genel kimlik doğrulama modunu iki yönlü parola ve etkin şifreleme olarak ayarlayın.

Varsayılan olarak, genel kimlik doğrulama modu yok olarak ayarlanmıştır ve şifreleme devre dışıdır. Yapılandırmalar, yalnızca en az iki yönlü parola kimlik doğrulama desteğine sahip DD Boost 3.3 veya üzeri sürümleri kullanan DD Boost istemcilerinin bağlanabilmesini ve verilerin kablo üzerinde şifrelenmesini sağlar. 

 

Not: Tek yönlü (istemci başına) ve iki yönlü (global) daha güvenli yapılandırmalar mevcuttur. Bu ayarlarla DD Boost istemcilerinin bağlanmak için gerekli sertifikaları sağlamaları gerekir.

 

# ddboost option set global-authenticationmode two-way-password global-encryptionstrength <high/medium>

 

 

Parola karma desteğini SHA512 olarak ayarlama

Varsayılan olarak parola karması MD5 olarak ayarlıdır. Bunu SHA512 olarak değiştirmek, SHA512'yi destekleyemeyen DD Boost istemcilerinin bağlanmasını önler.

 # adminaccess option set password-hash
{md5 | sha512}

 

DD Boost kullanıcılarını yok rolüyle yapılandırın. NOT: DD Boost kullanıcıları için none rolü, bağımsız Data Domain ve PowerProtect DD sistemleri için geçerlidir. DD Boost'u yedekleme yazılımıyla (ör. Avamar) entegre ederken yedekleme yazılımı belgelerindeki kullanıcı rolü talimatlarını uygulayın.
Create a none role user and associates it to be a DD Boost
user.
 # user add <user> role none
# ddboost user assign <user> 

 
Bir DD Boost kullanıcısının atamasını tek bir depolama birimiyle sınırlayın. Aynı DD Boost kullanıcısını birden fazla DD Boost depolama birimine atamayın. Bu, aynı DD Boost kullanıcı kimlik bilgilerini paylaşan DD Boost istemcilerinin sayısını sınırlar.
Erişimi sınırlamak için istemci listesini kullanın.
# ddboost clients add client-list [encryption-strength {none | medium | high} authentication-mode {one-way | two-way | twoway-password | anonymous | kerberos}]
Not: Yapılandırma sırasında, herhangi bir kullanıcı için erişim sağlayan bir joker karakter kullanmayın. Bunun yerine tek tek IP adreslerini veya istemci adlarını yazın.
Yönetilen dosya çoğaltması için iki yönlü kimlik doğrulama ile şifrelemeyi etkinleştirin.

İki yönlü kimlik doğrulama modunu kullanın.

# ddboost file-replication option set
encryption enabled authentication-mode twoway

 

NFSv3 istemci erişimini önlemek için NFS bağlantı noktasını 2049 dışında bir değer kullanacak şekilde yapılandırın.
# nfs option set nfs3-port <new port number>
# nfs option set nfs4-port <new port number>

 
BoostFS için Kerberos kullanın. BoostFS kullanarak DD sistemine bağlanan istemcilerin, yalnızca FIPS bir seçenek değilse Kerberos desteğini kullanmaları önerilir. DD sistemi Active Directory desteği yapılandırılmalıdır. BoostFS istemcilerini Kerberos kullanacak şekilde yapılandırmak için platforma özel DD BoostFS Yapılandırma kullanıcı arayüzüne bakın
Avamar kullanıyorsanız DD Boost bağlantısı için Avamar varsayılan güvenlik ayarlarını kullanın. Avamar, istemciler için varsayılan olarak iki yönlü TLS sertifikaları, şifreleme ve belirteç erişimi kullanır. Varsayılanın korunması önerilir.
DD Boost veya NFS kullanımda değilse ağ eşleyicinin 111 numaralı bağlantı noktasını devre dışı bırakmak için netfilter seçeneğini kullanın.
# net filter add operation block protocol
tcp ports 111
 
# net filter add operation block protocol
udp ports 111

 


NFS

Açıklama Sağlamlaştırma önerisi
Kerberos'u şifrelemeyle yapılandırın.
Ensures that data on the wire is encrypted.
# nfs export create <export name> path
<path> option sec=krb5p

 
Dışa aktarma erişimine erişebilen ana bilgisayarların listesini belirtin.
Delete NFS clients from an export
# nfs add <path> <client-list> [ ( <optionlist> ) ]
Delete NFS clients from an export.
# nfs del <path> <client-list>
Not: Yapılandırma sırasında, herhangi bir kullanıcı için erişim sağlayan bir joker karakter kullanmayın. Bunun yerine tek tek IP adreslerini veya istemci adlarını yazın.

 
no_root_squash kullanmıyor

Aşağıdaki komutu kullanarak doğrulayın:

# nfs export show list

no_root_squash herhangi bir dışa aktarma için yapılandırılmadığının doğrulanması gerekir.


VTL/vDisk

Açıklama Sağlamlaştırma önerileri
Varsayılan seçenekleri kullanın. Mevcut varsayılan seçenekler en iyi uygulamalar olarak kabul edilir.

DISA STIG standartları
Aşağıdaki tablo, karşılık gelen sağlamlaştırma adımlarıyla birlikte DISA STIG/SRG kurallarını içerir.
Bu öneriler, aygıt türü için DISA STIG standartlarına uymak için kullanılabilir.

Açıklama Sağlamlaştırma önerisi
FIPS 140-2 onaylı şifrelemeyi etkinleştirin. DD, güvenli bağlantılar için yalnızca FIPS 140-2 onaylı şifrelerin kullanılmasını destekler. DD, FIPS modunu etkinleştirmek için UI veya CLI kullanılmasını önerir:
● UI: Administration > Setting > FIPS mode (Yönetim > Ayar > FIPS modu) ● CLI: system fips-mode enable
Uygulama sunucusu, tüm hesaplar ve hesap türleri için eşzamanlı oturumların sayısını kuruluş tanımlı bir sayıyla sınırlamalıdır. DD, UI veya CLI sağlamlaştırmayı önerir:
● UI: Administration > Access > More Tasks Change Login > Options (Oturum Açma Seçeneklerini Değiştir) (aktif oturum açmayı 100 olarak ayarlamak için)
● CLI: adminaccess option set login-maxactive 100
Ağ aygıtı, denemelerde art arda üç geçersiz günlük sınırını uygulayacak şekilde yapılandırılmalı ve bu sürenin sonunda 15 dakika boyunca herhangi bir oturum açma girişimini engellemelidir. DD, aşağıdakileri yapılandırmak için kullanıcı arayüzü veya CLI kullanılmasını önerir:
● Kullanıcı Arayüzü: Yönetim > : Daha Fazla Göreve Erişin >> Maksimum oturum açma denemesinde değeri 3 olarak değiştirin, Zaman aşımını 900 sn olarak açın


DISA STIG standartları

Açıklama Sağlamlaştırma önerisi
FIPS 140-2 onaylı şifrelemeyi etkinleştirin.
DD supports use of only FIPS 140-2 approved ciphers for
secured connections. DD recommends using UI or CLI to
enable FIPS mode:
● UI: Administration > Setting > FIPS mode
● CLI: system fips-mode enable

 
Uygulama sunucusu, tüm hesaplar ve hesap türleri için eşzamanlı oturumların sayısını kuruluş tanımlı bir sayıyla sınırlamalıdır.
DD recommends UI or CLI hardening:
● UI: Administration > Access > More Tasks > Change
Login Options (to set active login to 100)
● CLI: adminaccess option set login-maxactive 100

 
Ağ aygıtı, denemelerde art arda üç geçersiz günlük sınırını uygulayacak şekilde yapılandırılmalı ve bu sürenin sonunda 15 dakika boyunca herhangi bir oturum açma girişimini engellemelidir.

DD, aşağıdakileri yapılandırmak için kullanıcı arayüzü veya CLI kullanılmasını önerir:
Kullanıcı Arayüzü: Yönetim > : Daha Fazla Göreve Erişin >> Maksimum oturum açma denemesinde değeri 3 olarak değiştirin, Zaman aşımını 900 sn olarak açın

● CLI:
○ adminaccess option set login-maxattempts 3
○ adminaccess option set login-unlocktimeout 900

 

Uygulama sunucusu, kuruluş tarafından tanımlanan koşullardan veya oturum bağlantısının kesilmesini gerektiren olayları tetikledikten sonra kullanıcı oturumunu otomatik olarak sonlandırmalıdır. Sistem, belgelenmiş ve doğrulanmış görev gerekliliklerinin yerine getirilmesi dışında, bir iletişim oturumuyla ilişkili tüm ağ bağlantıları, oturumun sonunda veya bir komut isteminde kullanıcı tarafından 10 dakika işlem yapılmadığında sonlandırılacak şekilde yapılandırılmalıdır.

DD, oturumun sonunda bağlantıların sonlandırılmasını ve yapılandırılan işlem yapılmadığında oturumun sonlandırılmasını destekler. Etkin olmama süresini belirtmek için bir CLI vardır. SSH bağlantısı hâlâ canlı ancak istemciden gelen tüm istekler reddediliyor. Bir oturum temizleme işlemi çalışıyor ve artık geçerli olmayan oturumları temizliyor ve sonlandırıyor. DD, UI veya CLI sağlamlaştırma için aşağıdakileri önerir:

● UI: Administration > Access > Check on HTTPS >
Configure > ADVANCE and set timeout value as 600 sec.
Repeat the same for SSH by clicking SSH in Services.
● CLI:
○ SSH: adminaccess ssh option set sessiontimeout 600
○ https: adminaccess web option set
session-timeout 600

 

Çeşitli şifre eskime gereksinimleri

DD, CLI kullanıcı parolası eskime seçeneğini önerir. Varsayılan olarak, parola politikası geriye dönük olarak uyumlu olacak şekilde gevşetilir. Müşteri, parola yapılandırmasını daha kısıtlayıcı olacak ve eskime gereksinimlerini karşılayacak şekilde değiştirmek için kullanıcı arayüzü veya CLI'ları kullanabilir.

● UI: Yönetim >Erişim >Diğer Görevler>Oturum Açma Bilgilerini Değiştir Seçenekler

Not: Kullanıcı başına seçenek, Yönetici, Erişim, >Yerel Kullanıcılar>, Değiştirme >, Gelişmiş aracılığıyla > ayarlanabilir
 
● CLI: user password aging

 

Çeşitli Parolalar ve güç gereksinimleri

DD, kapsamlı bir parola politikasını destekler ve parolayı sağlamlaştırmak için CLI veya UI kullanılmasını önerir. Hesap parolası ilkesi özelliklerini ve karmaşıklığını uygulama kodunda istenen şekilde ayarlayın veya değiştirin. Gereksinimler hakkında daha fazla bilgi için parola politikasına bakın.

● UI: Yönetim >Erişim>Diğer Görevler>Giriş Seçeneklerini Değiştir
 

● CLI: user password strength set

 

İşletim sistemi, ağa bağlı sistemler için saatleri, yedekli Birleşik Devletler Deniz Gözlemevi (USNO) zaman sunucularından birine, uygun DoD ağı (NIPRNet/SIPRNet) için belirlenmiş bir zaman sunucusuna ve/veya Küresel Konumlandırma Sistemi'ne (GPS) senkronize edilmiş bir sunucuyla senkronize etmelidir. DD, NTP sunucusunu yapılandırmak için kullanıcı arayüzü veya CLI kullanılmasını önerir. ● UI: Yönetim >Ayarlar >DİĞER GÖREVLER>Zaman ayarlarını yapılandırma + işaretine tıklayarak NTP sunucusu bilgilerini girin.
● CLI: ntp add timeserver <server-name> ntp enable
Apache web sunucusu, belirtilen IP adresini ve bağlantı noktasını kullanacak şekilde yapılandırılmalıdır.

DD, HTTPS bağlantıları için varsayılan tüm arayüzler yerine farklı HTTPS bağlantı noktalarını ve belirli arayüzlerin sınırlandırılmasını destekler. DD, sağlamlaştırmak için adminaccess ve netfilter CLI komutunun kullanılmasını önerir:

● adminaccess web option set https-port
<port>
● net filter add operation allow protocol
tcp ports <port> interfaces <IP_address>

 

Not: IP adresi, ifconfig komutu tarafından bildirilen aktif bir arayüz olmalıdır.

 

Uygulama sunucusu, herhangi bir bağlantı kurmadan önce ağa bağlı tüm uç nokta aygıtlarını benzersiz şekilde tanımlamalıdır.

Apache web sunucusu, güvenli olmayan bölgelerden gelen bağlantıları kısıtlamalıdır.

DD, gelen bağlantıları kısıtlamak için kullanıcı arayüzü veya CLI komutu kullanılarak HTTPS ve SSH bağlantılarında izin verilen ana bilgisayarın yapılandırılmasını önerir.

● UI: Administration Access > ADMINISTRATOR > ACCESS > HTTPS/SSH > CONFIGURE > GENERAL seçeneğini belirleyin ve + (Ekle) işaretine tıklayın.

● CLI:
○ adminaccess http add <host_list>
○ adminaccess ssh add <host-list>

 

Denetleme günlüğü depolama kapasitesine ulaşıldığında bildirimler

Denetim günlüğü depolama alanı %80 ve %100 eşiğine ulaştığında e-posta uyarısı gönderilebilir. DD, sistemi "Uyarı Bildirimi E-postaları Gönderecek" şekilde yapılandırmak için kullanıcı arayüzü veya CLI kullanılmasını önerir. ● UI: Sağlık >Uyarı >BİLDİRİM >ADD(WARNING ve CRITICAL ve Subscriber CONFIGURE ile Dosya Sistemi Sınıfındaki Gruplar (E-posta adresleri ve Gruplar Ekle)

● CLI:
○ alerts notify-list create <group name
warning> class filesystem severity
warning
○ alerts notify-list add <group name
warning> emails <email>
○ alerts notify-list create <group name
critical> class filesystem severity
critical
○ alerts notify-list add <group name
critical> emails <email>

 

Denetim Günlüğü Yönlendirmeyi Etkinleştirme:
DD supports syslog forwarding and recommends using CLI to
set up connection to a remote syslog server.
● log host add <Remote_syslog_Server>
● log host enable

 
Yönetici erişimi vermeden önce kullanıcıların kimliğini doğrulamak için Authentication Server’ı kullanma.
DD supports multiple name servers protocols such as LDAP,
NIS, and AD. DD recommends using OpenLDAP with FIPS
enabled. DD manages only local accounts. DD recommends
using UI or CLI to configure LDAP.
● UI: Administration > Access > Authentication
● CLI: Authentication LDAP commands
Active Directory can also be configured for user logins with
FIPS enabled. However, CIFS data access with AD users is no
longer be supported with that configuration.

 
Ağ aygıtı, kriptografik tabanlı iki yönlü kimlik doğrulama kullanarak yerel, uzak veya ağ bağlantısı kurmadan önce ağ yönetimi SNMP uç noktalarının kimliğini doğrulamalıdır.
DD supports SNMPV3 that is FIPS-compliant. DD
recommends using UI or CLI to configure SNMPV3.
● UI: Administration > Settings > SNMP
● CLI: SNMP commands

 
Uygulama sunucusunun, yönetim arayüzüne erişmek için Kişisel Kimlik Doğrulama (PIV) kimlik bilgilerini kabul etmesi gerekir.

DD, kullanıcı arayüzünü kullanarak oturum açmak için istemci tarayıcısında DoD tarafından verilen CAC/PIV kartının kullanılmasını destekler. Bu, CAC/PIV kartı sertifikası kullanılarak yapılan çok faktörlü bir oturum açma işlemidir. DD, MFA'yı yapılandırmak ve kullanıcı yetkilendirmesi için OpenLDAP'yi ayarlamak üzere kullanıcı arayüzü veya CLI komutu önerir.

Genel Prosedür:
● OpenLDAP Import CA sertifikasını DD'ye yapılandırın.
● DoD CA'yı DD'ye
içe aktar● Yerel kullanıcılar oluşturun (LDAP kimlik doğrulaması kullanılmıyorsa).
● Parola tabanlı oturum açmayı devre dışı bırakın

PKI tabanlı kimlik doğrulaması için uygulama sunucusunun, ağ üzerinden iptal bilgilerine erişilememesi durumunda yol bulma ve doğrulamayı desteklemek için iptal verilerinin yerel bir önbelleğini uygulaması gerekir.
DD supports CRL on MFA with issuing CA revoking CAC
certificate by importing CRL cert to DD. DD recommends
using CLI to import CRL certificate.
● CLI: adminaccess certificate cert-revokelist import application login-auth

 
Apache web sunucusu, barındırılan uygulamalara uzaktan erişimi hemen kesecek veya devre dışı bırakacak şekilde yapılandırılmalıdır.
DD recommends disabling HTTPS service to terminate all
active sessions by UI or CLI.
● UI: Administration > Access > Administrator Access >
HTTPS > CONFIGURE (clear HTTPS and save).
● CLI: adminaccess disable https

 
Red Hat Enterprise Linux işletim sistemi, sertifikalı olmayan güvenilir bir ana bilgisayar SSH'nin sistemde oturum açmasına izin vermemelidir.

DD, parola tabanlı oturum açma yerine SSH anahtarları kullanarak SSH bağlantısını destekler. Parola tabanlı oturum açma devre dışıysa parola kullanarak kullanıcı arayüzünde oturum açma da devre dışı bırakılır. DD, anahtar sertifikasını içe aktarmak ve parola tabanlı SSH oturum açmayı devre dışı bırakmak için CLI kullanılmasını önerir.

● CLI:
○ adminaccess add ssh-keys user
<user_name>
○ adminaccess option set password-auth
disable

 

Not: Parola tabanlı oturum açmayı devre dışı bırakmak için önce sysadmin hesabının ssh anahtarı içe aktarılmış olmalıdır.

 

FIPS 140-2 onaylı şifreleme algoritmasını kullanın.

Sistem, hesap parola karmaları oluşturmak için FIPS 140-2 onaylı bir şifreleme karma algoritması kullanmalıdır. Sistemler, SHA-2 algoritma ailesini veya FIPS 140-2 onaylı ardılları kullanan parolalar için şifreleme karmaları kullanmalıdır. Onaylanmamış algoritmaların kullanılması, zayıf parola karmalarının ele geçirilmeye karşı daha savunmasız olmasına neden olabilir.

 

Not: DDOS Komut Referansı UIde, adminaccess seçeneğinin nasıl kullanılacağını açıklar: set passwordhash {md5 | sha512}

FIPS 140-2 onaylı kriptografik karmayı ayarlamak için komutun nasıl kullanılacağı açıklanmaktadır. Karma algoritmasını değiştirmek, mevcut parolaların karma değerini değiştirmez. Parola karması algoritması sha512 olarak değiştirildikten sonra, md5 ile karma hale getirilmiş mevcut parolalar hala md5 karma değerlerine sahip olacaktır. Yeni bir sha512 karma değerinin hesaplanması için bu parolaların sıfırlanması gerekir.

Telnet sunucu paketini kaldırın.
Telnet can be removed. Run adminaccess uninstall
telnet to remove the telnet package from the DD system.
Not: Telnet kaldırılırsa sisteme tekrar eklenemez.

 
Uzak sistem günlüğü sunucusuna denetim günlüğü iletme DD, yerel denetim günlüğünün sistem günlüğü sunucusuna iletilmesini destekler.
● CLI
○ log host add <Remote_syslog_IP>
○ log host enable
Not: Uzak Sistem Günlüğü sunucusunda sistem sistem günlüğünü kabul etmek için ilgili yapılandırma gereklidir.

 
Kullanıcının Bildirim ve İzin Başlığı için onayı
DD can be configured to prompt for user consent prior to log in to the system UI interface.
● UI: Administration > LOGIN BANNER > CONFIGURE
● CLI: system option set loginbanner /ddr/var/releases/<banner_file>
● Where <banner_file> is uploaded to
DD's /ddr/var/releases as text file

 

Etkilenen Ürünler

Data Domain
Makale Özellikleri
Article Number: 000208976
Article Type: How To
Son Değiştirme: 15 Oca 2026
Version:  5
Sorularınıza diğer Dell kullanıcılarından yanıtlar bulun
Destek Hizmetleri
Aygıtınızın Destek Hizmetleri kapsamında olup olmadığını kontrol edin.