Skip to main content
Data Infrastructure Insights
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

SecurityAdmin-Tool

Beitragende netapp-alavoie
PDFs

Data Infrastructure Insights umfasst Sicherheitsfunktionen, die einen Betrieb Ihrer Umgebung mit erhöhter Sicherheit ermöglichen. Zu den Funktionen gehören Verbesserungen bei der Verschlüsselung, beim Passwort-Hashing und die Möglichkeit, interne Benutzerpasswörter sowie Schlüsselpaare zum Ver- und Entschlüsseln von Passwörtern zu ändern.

Zum Schutz vertraulicher Daten empfiehlt NetApp , die Standardschlüssel und das Acquisition-Benutzerkennwort nach einer Installation oder einem Upgrade zu ändern.

Verschlüsselte Passwörter von Datenquellen werden in Data Infrastructure Insights gespeichert. Dabei wird ein öffentlicher Schlüssel zum Verschlüsseln von Passwörtern verwendet, wenn ein Benutzer sie auf einer Konfigurationsseite eines Datensammlers eingibt. Data Infrastructure Insights verfügt nicht über die privaten Schlüssel, die zum Entschlüsseln der Kennwörter des Datensammlers erforderlich sind. Nur Acquisition Units (AUs) verfügen über den privaten Schlüssel des Datensammlers, der zum Entschlüsseln der Kennwörter des Datensammlers erforderlich ist.

Überlegungen zu Upgrades und Installationen

Wenn Ihr Insight-System nicht standardmäßige Sicherheitskonfigurationen enthält (d. h. Sie haben Passwörter neu verschlüsselt), müssen Sie Ihre Sicherheitskonfigurationen sichern. Durch die Installation neuer Software oder in einigen Fällen durch ein Software-Upgrade wird Ihr System auf die Standardsicherheitskonfiguration zurückgesetzt. Wenn Ihr System zur Standardkonfiguration zurückkehrt, müssen Sie die nicht standardmäßige Konfiguration wiederherstellen, damit das System ordnungsgemäß funktioniert.

Verwalten der Sicherheit auf der Erfassungseinheit

Mit dem Tool SecurityAdmin können Sie Sicherheitsoptionen für Data Infrastructure Insights verwalten. Es wird auf dem System der Erfassungseinheit ausgeführt. Zur Sicherheitsverwaltung gehört die Verwaltung von Schlüsseln und Passwörtern, das Speichern und Wiederherstellen der von Ihnen erstellten Sicherheitskonfigurationen oder das Zurücksetzen der Konfigurationen auf die Standardeinstellungen.

Bevor Sie beginnen

  • Sie müssen über Administratorrechte auf dem AU-System verfügen, um die Acquisition Unit-Software (einschließlich des SecurityAdmin-Tools) zu installieren.

  • Wenn Sie Benutzer ohne Administratorrechte haben, die später auf das SecurityAdmin-Tool zugreifen müssen, müssen diese der Gruppe cisys hinzugefügt werden. Die Gruppe cisys wird während der AU-Installation erstellt.

Nach der AU-Installation befindet sich das SecurityAdmin-Tool auf dem Erfassungseinheitssystem an einem der folgenden Orte:

Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\bin\securityadmin.bat
Linux - /bin/oci-securityadmin.sh

Verwenden des SecurityAdmin-Tools

Starten Sie das SecurityAdmin-Tool im interaktiven Modus (-i).

Hinweis Es wird empfohlen, das SecurityAdmin-Tool im interaktiven Modus zu verwenden, um die Weitergabe von Geheimnissen über die Befehlszeile zu vermeiden, die in Protokollen erfasst werden können.

Die folgenden Optionen werden angezeigt:

Optionen für das SecurityAdmin-Tool (Linux)

  1. Sicherung

    Erstellt eine ZIP-Sicherungsdatei des Tresors mit allen Passwörtern und Schlüsseln und speichert die Datei an einem vom Benutzer angegebenen Speicherort oder an den folgenden Standardspeicherorten:

    Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\backup\vault
Linux - /var/log/netapp/oci/backup/vault

    Es wird empfohlen, Tresor-Backups sicher aufzubewahren, da sie vertrauliche Informationen enthalten.

  2. Wiederherstellen

    Stellt die erstellte ZIP-Sicherung des Tresors wieder her. Nach der Wiederherstellung werden alle Passwörter und Schlüssel auf die Werte zurückgesetzt, die zum Zeitpunkt der Sicherungserstellung gültig waren.

    Mit „Wiederherstellen“ können Sie Passwörter und Schlüssel auf mehreren Servern synchronisieren, beispielsweise mit diesen Schritten: 1) Ändern Sie die Verschlüsselungsschlüssel auf der AU. 2) Erstellen Sie eine Sicherungskopie des Tresors. 3) Stellen Sie die Tresorsicherung auf jeder der AUs wieder her.

  3. Skript zum Abrufen externer Schlüssel registrieren/aktualisieren

    Verwenden Sie ein externes Skript, um die AU-Verschlüsselungsschlüssel zu registrieren oder zu ändern, die zum Verschlüsseln oder Entschlüsseln von Gerätekennwörtern verwendet werden.

    Wenn Sie Verschlüsselungsschlüssel ändern, sollten Sie Ihre neue Sicherheitskonfiguration sichern, damit Sie sie nach einem Upgrade oder einer Installation wiederherstellen können.

    Beachten Sie, dass diese Option nur unter Linux verfügbar ist.

    Wenn Sie Ihr eigenes Schlüsselabrufskript mit dem SecurityAdmin-Tool verwenden, beachten Sie Folgendes:

    • Der derzeit unterstützte Algorithmus ist RSA mit mindestens 2048 Bit.

    • Das Skript muss den privaten und öffentlichen Schlüssel im Klartext zurückgeben. Das Skript darf keine verschlüsselten privaten und öffentlichen Schlüssel zurückgeben.

    • Das Skript sollte unverarbeitete, codierte Inhalte zurückgeben (nur PEM-Format).

    • Das externe Skript muss über Ausführungsberechtigungen verfügen.

  4. Rotierende Verschlüsselungsschlüssel

    Rotieren Sie Ihre Verschlüsselungsschlüssel (melden Sie aktuelle Schlüssel ab und registrieren Sie neue Schlüssel). Um einen Schlüssel aus einem externen Schlüsselverwaltungssystem zu verwenden, müssen Sie die öffentliche und die private Schlüssel-ID angeben.

  5. Auf Standardtasten zurücksetzen

    Setzt das Kennwort und die Verschlüsselungsschlüssel des Erwerbsbenutzers auf die Standardwerte zurück. Die Standardwerte sind diejenigen, die während der Installation bereitgestellt werden.

  6. Truststore-Passwort ändern

    Ändern Sie das Passwort des Truststores.

  7. Keystore-Passwort ändern

    Ändern Sie das Passwort des Schlüsselspeichers.

  8. Collector-Passwort verschlüsseln

    Datensammlerkennwort verschlüsseln.

  9. Ausfahrt

    Beenden Sie das SecurityAdmin-Tool.

Wählen Sie die Option, die Sie konfigurieren möchten, und folgen Sie den Anweisungen.

Festlegen eines Benutzers zum Ausführen des Tools

Wenn Sie sich in einer kontrollierten, sicherheitsbewussten Umgebung befinden, verfügen Sie möglicherweise nicht über die Gruppe cisys, möchten aber dennoch, dass bestimmte Benutzer das Tool SecurityAdmin ausführen.

Sie können dies erreichen, indem Sie die AU-Software manuell installieren und den Benutzer/die Gruppe angeben, für den/die Sie Zugriff wünschen.

  • Laden Sie mithilfe der API das CI-Installationsprogramm auf das AU-System herunter und entpacken Sie es.

    • Sie benötigen ein einmaliges Autorisierungstoken. Sehen Sie sich die API Swagger-Dokumentation an (Admin > API-Zugriff und wählen Sie den Link API-Dokumentation) und suchen Sie den API-Abschnitt GET /au/oneTimeToken.

    • Sobald Sie das Token haben, verwenden Sie die API GET /au/installers/{platform}/{version}, um die Installationsdatei herunterzuladen. Sie müssen die Plattform (Linux oder Windows) sowie die Installationsversion angeben.

  • Kopieren Sie die heruntergeladene Installationsdatei auf das AU-System und entpacken Sie sie.

  • Navigieren Sie zu dem Ordner, der die Dateien enthält, und führen Sie das Installationsprogramm als Root aus, wobei Sie den Benutzer und die Gruppe angeben:

    ./cloudinsights-install.sh <User> <Group>

Wenn der angegebene Benutzer und/oder die angegebene Gruppe nicht vorhanden sind, werden sie erstellt. Der Benutzer hat Zugriff auf das SecurityAdmin-Tool.

Aktualisieren oder Entfernen des Proxys

Mit dem Tool SecurityAdmin können Sie Proxy-Informationen für die Erfassungseinheit festlegen oder entfernen, indem Sie das Tool mit dem Parameter -pr ausführen:

[root@ci-eng-linau bin]# ./securityadmin -pr
usage: securityadmin -pr -ap <arg> | -h | -rp | -upr <arg>

The purpose of this tool is to enable reconfiguration of security aspects
of the Acquisition Unit such as encryption keys, and proxy configuration,
etc. For more information about this tool, please check the Data Infrastructure Insights
Documentation.

-ap,--add-proxy <arg>       add a proxy server.  Arguments: ip=ip
                             port=port user=user password=password
                             domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)
-h,--help
-rp,--remove-proxy          remove proxy server
-upr,--update-proxy <arg>   update a proxy.  Arguments: ip=ip port=port
                             user=user password=password domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)

Um beispielsweise den Proxy zu entfernen, führen Sie diesen Befehl aus:

 [root@ci-eng-linau bin]# ./securityadmin -pr -rp
Sie müssen die Erfassungseinheit nach der Ausführung des Befehls neu starten.

Um einen Proxy zu aktualisieren, lautet der Befehl

./securityadmin -pr -upr <arg>

Externer Schlüsselabruf

Wenn Sie ein UNIX-Shell-Skript bereitstellen, kann es von der Erfassungseinheit ausgeführt werden, um den privaten Schlüssel und den öffentlichen Schlüssel aus Ihrem Schlüsselverwaltungssystem abzurufen.

Um den Schlüssel abzurufen, führt Data Infrastructure Insights das Skript aus und übergibt zwei Parameter: Schlüssel-ID und Schlüsseltyp. Mit der Schlüssel-ID können Sie den Schlüssel in Ihrem Schlüsselverwaltungssystem identifizieren. Schlüsseltyp ist entweder „öffentlich“ oder „privat“. Wenn der Schlüsseltyp „öffentlich“ ist, muss das Skript den öffentlichen Schlüssel zurückgeben. Wenn der Schlüsseltyp „privat“ ist, muss der private Schlüssel zurückgegeben werden.

Um den Schlüssel an die Erfassungseinheit zurückzusenden, muss das Skript den Schlüssel in der Standardausgabe drucken. Das Skript darf nur den Schlüssel in die Standardausgabe drucken. Es darf kein anderer Text in die Standardausgabe gedruckt werden. Sobald der angeforderte Schlüssel in der Standardausgabe gedruckt wird, muss das Skript mit einem Exitcode von 0 beendet werden; jeder andere Rückgabecode wird als Fehler betrachtet.

Das Skript muss mithilfe des SecurityAdmin-Tools bei der Erfassungseinheit registriert werden, das das Skript zusammen mit der Erfassungseinheit ausführt. Das Skript muss über Lese- und Ausführungsberechtigungen für den Root- und „cisys“-Benutzer verfügen. Wenn das Shell-Skript nach der Registrierung geändert wird, muss das geänderte Shell-Skript erneut bei der Erfassungseinheit registriert werden.

Eingabeparameter: Schlüssel-ID

Schlüsselkennung, die zur Identifizierung des Schlüssels im Schlüsselverwaltungssystem des Kunden verwendet wird.

Eingabeparameter: Schlüsseltyp

öffentlich oder privat.

Ausgabe

Der angeforderte Schlüssel muss auf der Standardausgabe ausgegeben werden. Derzeit wird ein 2048-Bit-RSA-Schlüssel unterstützt. Schlüssel müssen im folgenden Format codiert und gedruckt werden: Privates Schlüsselformat – PEM, DER-codiert PKCS8 PrivateKeyInfo RFC 5958 Öffentliches Schlüsselformat – PEM, DER-codiert X.509 SubjectPublicKeyInfo RFC 5280

Exitcode

Bei Erfolg ist der Exitcode Null. Alle anderen Exit-Werte gelten als Fehlschlag.

Skriptberechtigungen

Das Skript muss über Lese- und Ausführungsberechtigungen für den Root- und „cisys“-Benutzer verfügen.

Protokolle

Skriptausführungen werden protokolliert. Protokolle finden Sie unter - /var/log/netapp/cloudinsights/securityadmin/securityadmin.log /var/log/netapp/cloudinsights/acq/acq.log

Verschlüsseln eines Passworts zur Verwendung in der API

Option 8 ermöglicht Ihnen die Verschlüsselung eines Passworts, welches Sie dann per API an einen Datensammler weitergeben können.

Starten Sie das SecurityAdmin-Tool im interaktiven Modus und wählen Sie Option 8: Passwort verschlüsseln.

 securityadmin.sh -i
Sie werden aufgefordert, das zu verschlüsselnde Kennwort einzugeben.  Beachten Sie, dass die von Ihnen eingegebenen Zeichen nicht auf dem Bildschirm angezeigt werden.  Geben Sie das Passwort erneut ein, wenn Sie dazu aufgefordert werden.

Wenn Sie den Befehl alternativ in einem Skript verwenden möchten, verwenden Sie in einer Befehlszeile securityadmin.sh mit dem Parameter „-enc“ und übergeben Sie Ihr unverschlüsseltes Kennwort:

 securityadmin -enc mypassword
image:SecurityAdmin_Encrypt_Key_API_CLI_Example.png["CLI-Beispiel"]

Das verschlüsselte Passwort wird auf dem Bildschirm angezeigt. Kopieren Sie die gesamte Zeichenfolge einschließlich aller führenden oder nachfolgenden Symbole.

Interaktiver Modus, Passwort verschlüsseln, Breite=640

Um das verschlüsselte Passwort an einen Datensammler zu senden, können Sie die Datensammlungs-API verwenden. Den Swagger für diese API finden Sie unter Admin > API-Zugriff. Klicken Sie auf den Link „API-Dokumentation“. Wählen Sie den API-Typ „Datenerfassung“ aus. Wählen Sie unter der Überschrift data_collection.data_collector die POST-API /collector/datasources für dieses Beispiel aus.

API zur Datenerfassung

Wenn Sie die Option preEncrypted auf True setzen, wird jedes Kennwort, das Sie über den API-Befehl übergeben, als bereits verschlüsselt behandelt. Die API verschlüsselt das/die Kennwort(e) nicht erneut. Fügen Sie beim Erstellen Ihrer API einfach das zuvor verschlüsselte Passwort an der entsprechenden Stelle ein.

API-Beispiel, Breite=600