Data Domain — 系统加固和最佳实践指南
摘要: 强化过程是双重的。传统上,希望强化系统的客户之所以这样做,是因为 要么受到授权,要么正在实施安全计算实践。这些表提供了强化过程和 遵守联邦国防信息系统局 (DISA) 安全技术实施的缓解措施 设备上的 UIdes (STIG)。 本指南中的信息与我们最新的 DDOS 7.10 版相关。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
管理访问
| 描述 | 强化建议 |
| 更改默认密码。 | 以 sysadmin 身份登录并运行 # user change password |
| 根据公司的密码策略配置频繁的密码轮换。 |
按照公司密码策略设置默认密码老化策略。 # user password aging option set
{[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]}
|
| 配置强密码策略。 |
设置用户密码强度策略: # user password strength set
{[min-length <length>]
[min-character-classes <num-classes>]
[passwords-remembered <0 - 24>][minpositions-changed <min-positions>]}
密码建议: |
| 启用安全监察官。 |
添加安全专员角色用户,强制更改密码,并启用授权策略。使用 user add 命令将安全专员添加为安全角色用户。 # user add <user>
[uid <uid>]
[role {admin | limited-admin | security |
user | backup-operator | none}]
[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]
[disable-date <date>]
[force-password-change {yes | no}]
添加安全专员帐户时,将 force-password-change设置为 yes。 Log in as security officer, and run
# authorization policy set security-officer enabled
|
| 使用 limited-admin(而不是 admin 或 sysadmin)进行日常作。 |
添加 limited-admin角色用户,并设置与 sysadmin/admin角色用户不同的密码。 # user add <user>
[uid <uid>]
[role {admin | limited-admin | security |
user | backup-operator | none}]
[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]
[disable-date <date>]
[force-password-change {yes | no}]
|
| 更改 sysadmin 创建的安全监察官的密码。 |
Log in as security officer, and then run
# user change password |
| 使用客户端列表将访问权限限制为仅需要的主机。 |
For SSH:
● Add an SSH host.
# adminaccess ssh add <host-list>
● Delete hosts from the SSH list.
# adminaccess ssh del <host-list>
For HTTP and HTTPS:
● Add an HTTP/HTTPS host.
# adminaccess http add <host-list>
● Delete hosts from the HTTP/HTTPS list.
# adminaccess http del <host-list>
提醒:请勿使用通配符字符,从而允许任何用户访问。请改为键入单个 IP 地址或客户端名称。
|
默认情况下,支持静态密钥密码,这会导致安全扫描程序识别“Weak cipher suites were detected:Perfect Forward Secrecy is not supported“漏洞。配置 TLS 密码列表以删除支持静态密钥密码。
From DDOS v7.7, cipher-list can be
modified to support only cipher-suites with
perfect forward secrecy by running following
command: adminaccess option set cipherlist DHE-RSA-AES128-SHA256:DHE-RSA-AES128-
GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSAAES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCMSHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHEECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-
GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHERSA-AES256-SHA384:ECDHE-ECDSA-AES128-
SHA256:ECDHE-RSA-AES128-SHA256
| 监视系统日志以监视系统中的用户创建和其他敏感活动。 |
● Configure and forward logs to syslog server.
● Monitor audit log and access log. See the DDOS Command
Reference UIde for more information.
○ # log view access-info
○ # log view audit-info
● Consider writing a script that runs the above commands
several times a day and reports any suspicious activities.
● Pay close attention to sensitive and not often used
commands that are related to user access management
and network settings, including time setting.
● Monitor authentication and authorization failures in
particular.
● Monitor all operations that require password.
● Monitor destruction operations and any failures and
repeating attempts.
● Highly recommended is to write searches and dashboards
to view log forwarded info. Also setup alerts rules on your
log server. |
| 提供与 sysadmin 不同的安全专员凭据。 | 为 sysadmin、admin角色用户和安全监察官设置不同的密码。 |
| 任何一个人都不应知道系统管理员和安全监察官凭据。 | 建议让不同的人员担任系统管理员和安全专员。 |
| 使用数据中心颁发的证书。 | DD 系统附带自签名证书。建议从数据中心导入证书。 |
| 如果不需要,请使用 netfilter 禁用端口。 | 例如,如果 DD Boost 未在使用中,则禁用端口 111 和 2049。 |
| 请勿启用 Telnet。 |
Disable telnet by running # adminaccess disable telnet |
| 使用 FTPS 和 SCP,但不使用 FTP。 | 默认情况下,FTP 处于禁用状态。使用 FTPS 和 SCP,但不使用 FTP。 |
| 配置 SNMP 时,请使用 SNMP v3。 | 配置 SNMP 后,启用 SNMPv3。 确保 SNMPv1 和 SNMPv2c 已禁用。 |
加密
| 描述 | 强化建议 |
| 使用外部密钥管理器进行加密。 | Data Domain 加密 — 常见问题 |
| 使用加密算法和密钥长度 | 建议在 GCM 模式下使用 256 位密钥和 AES 算法。 |
| 配置系统密码。 |
Set and use a hardened system passphrase. The default
minimum length requirement is 9 characters. Use system
passphrase option set min-length to set higher
length requirements. PowerProtect DD:如何设置和更改系统密码 |
用于 FTP 的 TLS
| 描述 | 强化建议 |
| TLS 版本 | 默认情况下,FTPS 启用 TLSv1.2。默认情况下,TLS 版本 TLSv1.0 和 TLSv1.1 处于禁用状态,如果需要,请使用提供的 tls-version 配置选项来启用 TLS 版本 TLSv1.0 和 TLSv1.1。 |
| 密码列表 | 默认密码列表仅支持 TLSv1.2。要启用 TLSv1.0 和 TLSv1.1,请相应地更改密码列表。 |
复制
| 描述 | 强化建议 |
| 使用加密和双向身份验证。 |
Configure two-way authentication when adding a replication
pair.
# replication add source <source>
destination <destination>
[low-bw-optim {enabled | disabled}]
[encryption {enabled [authentication-mode
{one-way | two-way | anonymous}] |
disabled}]
[propagate-retention-lock {enabled |
disabled}]
[ipversion {ipv4 | ipv6}]
[max-repl-streams <n>]
[destination-tenant-unit <tenant-unit>] |
DD Boost
| 描述 | 强化建议 |
| 将 global-authentication-mode设置为 two-way-password并启用加密。 |
默认情况下,全局身份验证模式设置为无,并且加密处于禁用状态。这些配置可确保只有至少支持双向密码身份验证的 DD Boost 客户端(即使用 DD Boost 3.3 或更高版本的客户端)才能连接网络,并对数据进行网络加密。
提醒: 提供更安全的配置:单向(每个客户端)和双向(全局)。通过这些设置,DD Boost 客户端必须提供必要的证书才能连接。
# ddboost option set global-authenticationmode two-way-password global-encryptionstrength <high/medium>
|
| 将密码哈希支持设置为 SHA512 |
默认情况下,密码哈希设置为 MD5。将其修改为 SHA512 可防止 DD Boost 客户端无法连接 SHA512。 # adminaccess option set password-hash
{md5 | sha512}
|
| 为 DD Boost 用户配置角色 none。提醒:DD Boost 用户的 none 角色适用于独立的 Data Domain 和 PowerProtect DD 系统。将 DD Boost 与备份软件(即 Avamar)集成时,请按照备份软件文档中的用户角色说明进行作。 |
Create a none role user and associates it to be a DD Boost
user.
# user add <user> role none
# ddboost user assign <user> |
| 将 DD Boost 用户的分配限制为单个存储单元。 | 请勿将同一 DD Boost 用户分配给多个 DD Boost 存储单元。这将限制共享相同 DD Boost 用户凭据的 DD Boost 客户端数量。 |
| 使用客户端列表限制访问。 |
# ddboost clients add client-list [encryption-strength {none | medium | high} authentication-mode {one-way | two-way | twoway-password | anonymous | kerberos}]
提醒:在配置过程中,请勿使用通配符,允许任何用户访问。请改为键入单个 IP 地址或客户端名称。
|
| 为托管文件复制启用使用双向身份验证的加密。 |
使用双向身份验证模式。 # ddboost file-replication option set
encryption enabled authentication-mode twoway
|
| 配置 NFS 端口以使用 2049 以外的端口来阻止 NFSv3 客户端访问。 |
# nfs option set nfs3-port <new port number>
# nfs option set nfs4-port <new port number> |
| 将 Kerberos 用于 BoostFS。 | 建议使用 BoostFS 连接到 DD 系统的客户端仅在没有 FIPS 选项时才使用 Kerberos 支持。必须配置 DD 系统 Active Directory 支持。要将 BoostFS 客户端配置为使用 Kerberos,请参阅特定于平台的 DD BoostFS 配置 UIde |
| 如果使用 Avamar,则对 DD Boost 连接使用 Avamar 默认安全设置。 | 默认情况下,Avamar 对客户端使用双向 TLS 证书、加密和令牌访问。建议保留默认值。 |
| 如果未使用 DD Boost 或 NFS,请使用 netfilter 选项禁用端口映射程序端口 111。 |
# net filter add operation block protocol
tcp ports 111
# net filter add operation block protocol
udp ports 111 |
NFS
| 描述 | 强化建议 |
| 配置 Kerberos 加密。 |
Ensures that data on the wire is encrypted.
# nfs export create <export name> path
<path> option sec=krb5p |
| 指定可以访问导出的主机列表。 |
Delete NFS clients from an export
# nfs add <path> <client-list> [ ( <optionlist> ) ]
Delete NFS clients from an export.
# nfs del <path> <client-list>
提醒: 配置时,请勿使用通配符字符,从而允许任何用户访问。请改为键入单个 IP 地址或客户端名称。
|
| 不使用no_root_squash |
使用以下命令进行验证: # nfs export show list
应验证未为任何导出配置no_root_squash。 |
VTL/vDisk
| 描述 | 强化建议 |
| 使用默认选项。 | 现有默认选项被视为最佳实践。 |
DISA STIG 标准
下表包含 DISA STIG/SRG 规则及其相应的强化步骤。
这些建议可用于符合设备类型的 DISA STIG 标准。
| 描述 | 强化建议 |
| 启用 FIPS 140-2 认可的加密。 | DD 仅支持将 FIPS 140-2 认可的密码用于安全连接。DD 建议使用 UI 或 CLI 启用 FIPS 模式: ● UI:Administration > Setting > FIPS mode ● CLI:system fips-mode enable |
| 应用程序服务器必须将所有帐户和帐户类型的并发会话数限制为组织定义的数字。 | DD 建议进行 UI 或 CLI 强化: ● UI:AdministrationAccessMore >> TasksChange > Login Options(将活动登录设置为 100) ● CLI:adminaccess option set login-maxactive 100 |
| 网络设备必须配置为强制限制为连续尝试三次无效日志,在此之后,必须在 15 分钟内阻止任何登录尝试。 | DD 建议使用 UI 或 CLI 来配置: ● UI:管理 > 访问 > 更多任务 > 将“最大登录尝试次数”的值更改为 3,将解锁超时更改为 900 秒 |
DISA STIG 标准
| 描述 | 强化建议 |
| 启用 FIPS 140-2 认可的加密。 |
DD supports use of only FIPS 140-2 approved ciphers for
secured connections. DD recommends using UI or CLI to
enable FIPS mode:
● UI: Administration > Setting > FIPS mode
● CLI: system fips-mode enable |
| 应用程序服务器必须将所有帐户和帐户类型的并发会话数限制为组织定义的数字。 |
DD recommends UI or CLI hardening:
● UI: Administration > Access > More Tasks > Change
Login Options (to set active login to 100)
● CLI: adminaccess option set login-maxactive 100 |
| 网络设备必须配置为强制限制为连续尝试三次无效日志,在此之后,必须在 15 分钟内阻止任何登录尝试。 |
DD 建议使用 UI 或 CLI 来配置: ● CLI:
○ adminaccess option set login-maxattempts 3
○ adminaccess option set login-unlocktimeout 900
|
| 在达到组织定义的条件后,应用程序服务器必须自动终止用户会话,或触发需要会话断开连接的事件。必须对系统进行配置,以便与通信会话关联的所有网络连接在会话结束时或在命令提示符下用户处于非活动状态 10 分钟后终止,但履行记录和验证的任务要求除外。 |
DD 支持在会话结束时终止连接,并支持在配置的非活动时间后终止会话。有一个 CLI 可以指定非活动时段。SSH 连接仍处于活动状态,但来自客户端的任何请求都会被拒绝。会话清理进程正在运行,清理和终止不再有效的会话。DD 建议执行以下 UI 或 CLI 强化: ● UI: Administration > Access > Check on HTTPS >
Configure > ADVANCE and set timeout value as 600 sec.
Repeat the same for SSH by clicking SSH in Services.
● CLI:
○ SSH: adminaccess ssh option set sessiontimeout 600
○ https: adminaccess web option set
session-timeout 600
|
| 各种密码时效要求 |
DD 建议使用 CLI 用户密码老化选项。默认情况下,密码策略将放宽到向后兼容。客户可以使用 UI 或 CLI 修改密码配置,使其更具限制性并满足过时要求。 ● UI:管理 >访问 >更多任务>更改登录选项
提醒:可通过 AdministrationAccessLocal >>UsersModify >>Advanced来设置“Per user”选项
● CLI: user password aging
|
| 各种密码和强度要求 |
DD 支持全面的密码策略,并建议使用 CLI 或 UI 来强化密码。根据应用程序代码的需要设置或修改帐户密码策略特征和复杂性。有关要求的更多信息,请参阅密码策略。 ● UI:管理 >访问>更多任务>更改登录选项 ● CLI: user password strength set
|
| 对于联网系统,作系统必须与同步到冗余美国海军天文台 (USNO) 时间服务器之一的服务器、为相应 DoD 网络 (NIPRNet/SIPRNet) 和/或全球定位系统 (GPS) 指定的时间服务器的服务器同步时钟。 | DD 建议使用 UI 或 CLI 来配置 NTP 服务器。● UI:管理 >设置 >更多任务>配置时间设置通过单击 + 号输入 NTP 服务器信息。
● CLI: ntp add timeserver <server-name> ntp enable |
| 必须将 Apache Web 服务器配置为使用指定的 IP 地址和端口。 |
DD 支持不同的 HTTPS 端口并限制特定接口,而不是 HTTPS 连接所有接口的默认接口。DD 建议使用 adminaccess 和 netfilter CLI 命令来强化: ● adminaccess web option set https-port
<port>
● net filter add operation allow protocol
tcp ports <port> interfaces <IP_address>
提醒:IP 地址必须是 ifconfig命令报告的活动接口。
|
|
在建立任何连接之前,应用程序服务器必须唯一标识所有已连接网络的端点设备。 Apache Web 服务器必须限制来自非安全分区的入站连接。 |
为了限制入站连接,DD 建议使用 UI 或 CLI 命令在 HTTPS 和 SSH 连接中配置允许的主机。 ● UI:AdministrationAccessADMINISTRATOR >> ACCESS > 选择 HTTPS/SSHCONFIGURE >> GENERAL,然后单击 +(添加)符号。 ● CLI:
○ adminaccess http add <host_list>
○ adminaccess ssh add <host-list>
|
| 达到审核日志存储容量时的通知 |
当审核日志存储空间达到 80% 和 100% 阈值时,可以发送电子邮件警报。DD 建议使用 UI 或 CLI 将系统配置为“发送警报通知电子邮件”。● UI:健康 >警报 >通知 >ADD(文件系统类别上的组,具有警告和严重以及订阅者配置(添加电子邮件地址和组) ● CLI:
○ alerts notify-list create <group name
warning> class filesystem severity
warning
○ alerts notify-list add <group name
warning> emails <email>
○ alerts notify-list create <group name
critical> class filesystem severity
critical
○ alerts notify-list add <group name
critical> emails <email>
|
| 启用审核日志转发: |
DD supports syslog forwarding and recommends using CLI to
set up connection to a remote syslog server.
● log host add <Remote_syslog_Server>
● log host enable
|
| 在授予管理访问权限之前,使用身份验证服务器对用户进行身份验证。 |
DD supports multiple name servers protocols such as LDAP,
NIS, and AD. DD recommends using OpenLDAP with FIPS
enabled. DD manages only local accounts. DD recommends
using UI or CLI to configure LDAP.
● UI: Administration > Access > Authentication
● CLI: Authentication LDAP commands
Active Directory can also be configured for user logins with
FIPS enabled. However, CIFS data access with AD users is no
longer be supported with that configuration. |
| 在使用基于加密的双向身份验证建立本地、远程或网络连接之前,网络设备必须对网络管理 SNMP 端点进行身份验证。 |
DD supports SNMPV3 that is FIPS-compliant. DD
recommends using UI or CLI to configure SNMPV3.
● UI: Administration > Settings > SNMP
● CLI: SNMP commands |
| 应用程序服务器必须接受个人身份验证 (PIV) 凭据才能访问管理界面。 |
DD 支持在客户端浏览器上使用 DoD 颁发的 CAC/PIV 卡通过 UI 登录。这是使用 CAC/PIV 卡证书的多因素登录。DD 建议使用 UI 或 CLI 命令来配置 MFA 并设置 OpenLDAP 以进行用户授权。 一般过程: |
| 对于基于 PKI 的身份验证,应用程序服务器必须实现吊销数据的本地缓存,以便在无法通过网络访问吊销信息的情况下支持路径发现和验证。 |
DD supports CRL on MFA with issuing CA revoking CAC
certificate by importing CRL cert to DD. DD recommends
using CLI to import CRL certificate.
● CLI: adminaccess certificate cert-revokelist import application login-auth |
| 必须将 Apache Web 服务器配置为立即断开连接或禁用对托管应用程序的远程访问。 |
DD recommends disabling HTTPS service to terminate all
active sessions by UI or CLI.
● UI: Administration > Access > Administrator Access >
HTTPS > CONFIGURE (clear HTTPS and save).
● CLI: adminaccess disable https |
| Red Hat Enterprise Linux作系统不得允许非证书受信任主机 SSH 登录系统。 |
DD 支持使用 ssh 密钥而不是基于密码的登录进行 SSH 连接。如果禁用基于密码的登录,则使用密码的 UI 登录也会被禁用。DD 建议使用 CLI 导入密钥证书并禁用基于密码的 SSH 登录。 ● CLI:
○ adminaccess add ssh-keys user
<user_name>
○ adminaccess option set password-auth
disable
提醒: 系统管理员帐户必须先导入 ssh 密钥才能禁用基于密码的登录。
|
| 使用 FIPS 140-2 认可的加密哈希算法。 |
系统必须使用 FIPS 140-2 批准的加密哈希算法来生成帐户密码哈希。系统必须使用 SHA-2 家族算法或 FIPS 140-2 批准的后继算法对密码进行加密哈希处理。使用未经批准的算法可能会导致密码哈希较弱,更容易受到入侵。
提醒: DDOS 命令参考 UIde 介绍了如何使用 adminaccess 选项 set passwordhash {md5 | sha512}
命令在系统上设置 FIPS 140-2 认可的加密哈希。更改哈希算法不会更改任何现有密码的哈希值。将 password-hash 算法更改为 sha512 后,任何使用 md5 进行哈希处理的现有密码仍将具有 md5 哈希值。必须重置这些密码,以便计算新的 sha512 哈希值。 |
| 删除 telnet-server 软件包。 |
Telnet can be removed. Run adminaccess uninstall
telnet to remove the telnet package from the DD system.
提醒:如果删除了 telnet,则无法将其添加回系统。
|
| 将审核日志转发到远程系统日志服务器 | DD 支持将本地审核日志转发到系统日志服务器。 ● 命令行界面 (CLI) ○ log host add <Remote_syslog_IP>
○ log host enable
提醒:需要相应的配置以在远程系统日志服务器上接受系统系统日志。
|
| 用户同意通知和同意横幅 |
DD can be configured to prompt for user consent prior to log in to the system UI interface.
● UI: Administration > LOGIN BANNER > CONFIGURE
● CLI: system option set loginbanner /ddr/var/releases/<banner_file>
● Where <banner_file> is uploaded to
DD's /ddr/var/releases as text file |
受影响的产品
Data Domain文章属性
文章编号: 000208976
文章类型: How To
上次修改时间: 15 1月 2026
版本: 5
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。