PowerProtect:DP 系列和 IDPA:一般安全强化最佳实践(版本2.7.6)
摘要: 本文的目的是在运行安全漏洞扫描之前,提供 Integrated Data Protection Appliance (IDPA) 版本 2.7.6 的一般安全强化最佳实践。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
提醒:PowerProtect Data Protection (DP) 系列软件或 IDPA 版本 2.7.7 已发布。建议升级到 IDPA 版本 2.7.7。
在运行安全漏洞扫描之前,以下是 PowerProtect Data Protection Series 软件版本 2.7.6 的一般安全强化最佳实践。如有任何其他问题,请联系 Dell Technologies 支持。
所有(可选):
PowerProtect DP 系列备份一体机子组件包括 SSL 自签名证书,这可能会导致浏览器报告不安全的连接。为了尽可能提高设备安全性,客户必须将默认 SSL 自签名证书替换为由受信任证书颁发机构 (CA) 签名的 SSL 证书。应用 IDPA 安全配置指南中提供的步骤(需要以注册用户身份登录戴尔支持才能查看文档)。详细步骤在“证书管理”部分下。
提醒:在一体机升级期间,客户导入的 CA 签名证书将替换为自签名证书。因此,客户必须在升级后再次添加 CA 签名的证书。
Appliance Configuration Manager (ACM):
应用以下戴尔文章:
- PowerProtect DP 系列备份一体机和 IDPA:安全漏洞扫描在 ACM/Search 上检测到“网络时间协议 (NTP) 模式 6 扫描程序”
- PowerProtect DP 系列备份一体机和 IDPA:安全漏洞扫描在 ACM 中检测到“DNS 或 BIND”漏洞(需要以注册用户身份登录戴尔支持才能查看文章)
- PowerProtect DP 系列备份一体机和 IDPA:安全漏洞扫描在许多 IDPA 组件上检测到 SSH 包含弱 CBC 密码
- PowerProtect DP 系列备份一体机和 IDPA 报告 SSH 的 SHA1 弃用设置 (QID 38909)
保护软件 (Avamar):
应用最新的 Avamar 19.9 累积热修复程序。例如,Avamar Server 的 Avamar 19.9 Avamar 累积热修复程序,包括 Avamar Virtual Edition — 热修复程序 338827,2024 年 8 月: "v19.9.0.78-workflow-338827.zip"
在 Avamar 和 NDMP 节点上应用最新的 Avamar OS 修补程序。例如,Avamar Virtual Edition (AVE) 和 Avamar Data Stores (ADS) 平台安全汇总 2024-R2, "AvPlatformOsRollup_2024-R2-v3.avp."
- Avamar:如何在 Avamar Virtual Edition (AVE) 和 NDMP 上安装 Avamar 安全汇总(需要以注册用户身份登录戴尔支持才能查看文章)
为所有 Avamar 代理应用最新的 Avamar 代理累积热修复程序,包括 IDPA 内部 AvProxy 和客户的 vCenter 代理。例如,Avamar 19.9.100-78 代理累积热修复程序(热修复程序 338844,2024 年 8 月), "v19.9.100.78-client-338844.zip."
- 代理热修复程序安装过程可在 .zip 文件内的 README 文件中找到。
为所有 Avamar 代理应用 Avamar 代理操作系统修补程序,包括 IDPA 内部 AvProxy 和客户的 vCenter 代理。例如,Avamar 代理捆绑包 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."
应用以下戴尔文章:
- PowerProtect DP 系列备份一体机和 IDPA:安全漏洞扫描在许多 IDPA 组件上检测到 SSH 包含弱 CBC 密码
- PowerProtect DP 系列备份一体机和 IDPA 报告 SSH 的 SHA1 弃用设置 (QID 38909)
(提醒:应用 Avamar 安全汇总 2024-R2 后,此问题应解决。)
应用 PowerProtect DP 系列备份一体机安全配置指南(需要以注册用户身份登录戴尔支持才能查看文档)的“将保护软件和保护存储与 SNMP v3 集成”和“将报告和分析与保护存储与 SNMP v3 集成”部分。
注意:如果 PowerProtect DP 系列备份一体机配置了 Cloud DR,请勿将保护软件 (Avamar) 和保护存储 (Data Domain) 与 SNMP v3 集成。配置 SNMP v3 后,Cloud DR 将无法正常工作。
如果正在使用 Cloud DR,则仅支持 SNMP v2C。常见的“public”和“public”社区字符串应替换为类似 "idpasnmpuser" 的字符串或环境中唯一的名称。请参阅安全配置指南(需要以注册用户身份登录戴尔支持才能查看文档)中的步骤(选择 SNMP v2C 而不是 v3)来更新 SNMP 社区字符串。
Protection Storage (Data Domain):
执行到版本 DD OS 7.10.1.20 的带外升级。(对于 IDPA 版本 2.7.6,支持 DD OS 版本 7.10.1.20。)
应用以下戴尔文章:
- Data Domain:已弃用的 SSH 加密设置 QID 38739(需要以注册用户身份登录戴尔支持才能查看文章)
- PowerProtect DP 系列备份一体机和 IDPA 报告 SSH 的 SHA1 弃用设置 (QID 38909)
- PowerProtect:IDPA 2.7.6 和 2.7.7 上的 OpenSSH 漏洞 CVE-2024-6387
应用 PowerProtect DP 系列备份一体机安全配置指南(需要以注册用户身份登录戴尔支持才能查看文档)的“将保护软件和保护存储与 SNMP v3 集成”和“将报告和分析与保护存储与 SNMP v3 集成”部分。
注意:如果 PowerProtect DP 系列备份一体机配置了 Cloud DR,请勿将保护软件 (Avamar) 和保护存储 (Data Domain) 与 SNMP v3 集成。配置 SNMP v3 后,Cloud DR 将无法正常工作。
如果正在使用 Cloud DR,则仅支持 SNMP v2C。常见的“public”和“public”社区字符串应替换为类似 "idpasnmpuser" 的字符串或环境中唯一的名称。请参阅安全配置指南(需要以注册用户身份登录戴尔支持才能查看文档)中的步骤(选择 SNMP v2C 而不是 v3)来更新 SNMP 社区字符串。
System Manager (DPC):
提醒:DPC 是一个可选组件,客户可以决定是否保留它。从 ACM 中删除 DPC 不会影响备份功能。
应用最新的 Data Protection Central 操作系统更新。例如,下载操作系统更新
应用最新的 Data Protection Central 操作系统更新。例如,下载操作系统更新
dpc-osupdate-1.1.19-1.jar (需要以注册用户身份登录戴尔支持才能访问该文件)
- Data Protection Central:如何安装 Data Protection Central 操作系统更新(需要以注册用户身份登录戴尔支持才能查看文章)
Search:
提醒:Search 是一个可选组件,客户可以决定是否保留它。从 ACM 中删除 Search 不会影响备份功能。
注意:版本 2.7.6 全新安装中不再包含 Search。如果一体机从较旧版本升级到版本 2.7.6,则 Search 会升级到版本 19.6.3,并且在从 ACM UI 中删除之前一直可用。如果从 ACM 中删除了 Search,则没有重新安装过程。
参阅以下戴尔文章,以应用其他安全漏洞的修复措施:
注意:版本 2.7.6 全新安装中不再包含 Search。如果一体机从较旧版本升级到版本 2.7.6,则 Search 会升级到版本 19.6.3,并且在从 ACM UI 中删除之前一直可用。如果从 ACM 中删除了 Search,则没有重新安装过程。
参阅以下戴尔文章,以应用其他安全漏洞的修复措施:
- PowerProtect DP 系列备份一体机和 IDPA:安全漏洞扫描在 ACM/Search 上检测到“网络时间协议 (NTP) 模式 6 扫描程序”
- DPSearch 的安全扫描评估可能显示 ldap-anonymous-directory-access 的警报(需要以注册用户身份登录戴尔支持才能查看文章)
- PowerProtect DP 系列备份一体机和 IDPA:安全漏洞扫描在 ESXi、vCenter、Search 或 DPC 上检测到“SSH 配置中 MD5 或 96 位 HMAC 算法的 SSH 漏洞”(需要以注册用户身份登录戴尔支持才能查看文章)
- PowerProtect DP 系列备份一体机和 IDPA 报告 SSH 的 SHA1 弃用设置 (QID 38909)
Reporting and Analytics (DPA):
提醒:DPA 是一个可选组件,客户可以决定是否保留它。从 ACM 中删除 DPA 不会影响备份功能。
将 DPA 升级到版本 19.10 内部版本 22:
将 DPA 升级到版本 19.10 内部版本 22:
- 对于 DP4400:下载服务器二进制文件(需要以注册用户身份登录戴尔支持才能访问该文件)
- 对于 DP5/8x00:下载服务器和代理二进制文件(需要以注册用户身份登录戴尔支持才能访问该文件)
- PowerProtect DP 备份一体机和融合备份一体机:在一体机内带外升级 DPA 或 Data Protection Advisor 组件的步骤
应用 PowerProtect DP 系列备份一体机和 IDPA 报告 SSH 的 SHA1 弃用设置 (QID 38909)。
在 DPA 数据存储和应用程序服务器上应用“适用于 Linux 64-Bit 的 Data Protection Advisor 2024 年 4 月 JRE 8u411 升级修补程序”(需要以注册用户身份登录戴尔支持才能访问文件)修补程序。它使用 DPA 19.9 和 19.10 版本的最新修补程序进行了测试。
- 如需了解如何执行 JRE 升级,请参阅文章 Dell Data Protection Advisor 19.10 安装和管理指南。
应用 PowerProtect DP 系列备份一体机安全配置指南(需要以注册用户身份登录戴尔支持才能查看文档)的“将保护软件和保护存储与 SNMP v3 集成”和“将报告和分析与保护存储与 SNMP v3 集成”部分。
注意:如果 PowerProtect DP 系列备份一体机配置了 Cloud DR,请勿将保护软件 (Avamar) 和保护存储 (Data Domain) 与 SNMP v3 集成。配置 SNMP v3 后,Cloud DR 将无法正常工作。
如果正在使用 Cloud DR,则仅支持 SNMP v2C。常见的“public”和“public”社区字符串应替换为类似 "idpasnmpuser" 的字符串或环境中唯一的名称。请参阅安全配置指南(需要以注册用户身份登录戴尔支持才能查看文档)中的步骤(选择 SNMP v2C 而不是 v3)来更新 SNMP 社区字符串。
PowerEdge 固件和 iDARC:
应用 IDPA 安全配置指南(需要以注册用户身份登录戴尔支持才能查看文档)的“更改 PowerProtect DP 系列备份一体机交换机和 iDRAC 的默认 SNMP 社区字符串”部分中提供的步骤,更改 SNMP 社区字符串。
应用安全配置指南中提供的步骤(需要以注册用户身份登录戴尔支持才能查看文档)。请参阅“iDRAC 的 TLS 协议配置”部分,并将 iDRAC Web 服务器 TLS 协议更新为 TLS 1.2 及更高版本。
应用 PowerProtect DP 系列备份一体机和 IDPA 报告 SSH 的 SHA1 弃用设置 (QID 38909)。
PowerEdge 交换机(对于 DP5/8x00):
应用安全配置指南(需要以注册用户身份登录戴尔支持才能查看文档)中提供的步骤。请参阅“更改 PowerProtect DP 系列备份一体机交换机和 iDRAC 的默认 SNMP 社区字符串”部分,更新 SNMP 社区字符串。
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000223709
文章类型: How To
上次修改时间: 05 5月 2025
版本: 13
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。