Skip to main content
Data Infrastructure Insights
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Herramienta SecurityAdmin

Colaboradores netapp-alavoie
PDF

Data Infrastructure Insights Incluye funciones de seguridad que permiten que su entorno funcione con mayor seguridad. Las características incluyen mejoras en el cifrado, el hash de contraseñas y la capacidad de cambiar las contraseñas de usuarios internos, así como los pares de claves que cifran y descifran las contraseñas.

Para proteger datos confidenciales, NetApp recomienda cambiar las claves predeterminadas y la contraseña de usuario Acquisition después de una instalación o actualización.

Las contraseñas cifradas de la fuente de datos se almacenan en Data Infrastructure Insights, que utiliza una clave pública para cifrar las contraseñas cuando un usuario las ingresa en una página de configuración del recopilador de datos. Data Infrastructure Insights no tiene las claves privadas necesarias para descifrar las contraseñas del recopilador de datos; solo las unidades de adquisición (AU) tienen la clave privada del recopilador de datos necesaria para descifrar las contraseñas del recopilador de datos.

Consideraciones de actualización e instalación

Cuando su sistema Insight contiene configuraciones de seguridad no predeterminadas (es decir, ha reingresado contraseñas), debe realizar una copia de seguridad de sus configuraciones de seguridad. Instalar software nuevo, o en algunos casos actualizar software, revierte el sistema a una configuración de seguridad predeterminada. Cuando el sistema vuelva a la configuración predeterminada, deberá restaurar la configuración no predeterminada para que el sistema funcione correctamente.

Gestión de la seguridad en la unidad de adquisición

La herramienta SecurityAdmin le permite administrar las opciones de seguridad para Data Infrastructure Insights y se ejecuta en el sistema de la unidad de adquisición. La gestión de seguridad incluye la gestión de claves y contraseñas, el guardado y la restauración de las configuraciones de seguridad creadas o la restauración de las configuraciones a los valores predeterminados.

Antes de empezar

  • Debe tener privilegios de administrador en el sistema AU para poder instalar el software de la Unidad de Adquisición (que incluye la herramienta SecurityAdmin).

  • Si tiene usuarios que no sean administradores y que posteriormente necesitarán acceder a la herramienta SecurityAdmin, deben agregarse al grupo cisys. El grupo cisys se crea durante la instalación de AU.

Después de instalar AU, la herramienta SecurityAdmin se encuentra en el sistema de la unidad de adquisición en cualquiera de estas ubicaciones:

Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\bin\securityadmin.bat
Linux - /bin/oci-securityadmin.sh

Uso de la herramienta SecurityAdmin

Inicie la herramienta SecurityAdmin en modo interactivo (-i).

Nota Se recomienda utilizar la herramienta SecurityAdmin en modo interactivo, para evitar pasar secretos en la línea de comandos, que pueden quedar capturados en los registros.

Se muestran las siguientes opciones:

Opciones para la herramienta SecurityAdmin (Linux)

  1. Respaldo

    Crea un archivo zip de respaldo de la bóveda que contiene todas las contraseñas y claves, y coloca el archivo en una ubicación especificada por el usuario o en las siguientes ubicaciones predeterminadas:

    Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\backup\vault
Linux - /var/log/netapp/oci/backup/vault

    Se recomienda que las copias de seguridad de la bóveda se mantengan seguras, ya que incluyen información confidencial.

  2. Restaurar

    Restaura la copia de seguridad zip de la bóveda que se creó. Una vez restaurada, todas las contraseñas y claves vuelven a los valores existentes en el momento de la creación de la copia de seguridad.

    La restauración se puede utilizar para sincronizar contraseñas y claves en varios servidores, por ejemplo, siguiendo estos pasos: 1) Cambiar las claves de cifrado en la AU. 2) Cree una copia de seguridad de la bóveda. 3) Restaure la copia de seguridad de la bóveda en cada una de las AU.

  3. Registrar/Actualizar script de recuperación de clave externa

    Utilice un script externo para registrar o cambiar las claves de cifrado AU utilizadas para cifrar o descifrar las contraseñas del dispositivo.

    Cuando cambie las claves de cifrado, deberá realizar una copia de seguridad de su nueva configuración de seguridad para poder restaurarla después de una actualización o instalación.

    Tenga en cuenta que esta opción sólo está disponible en Linux.

    Al utilizar su propio script de recuperación de claves con la herramienta SecurityAdmin, tenga en cuenta lo siguiente:

    • El algoritmo admitido actualmente es RSA con un mínimo de 2048 bits.

    • El script debe devolver las claves privadas y públicas en texto sin formato. El script no debe devolver claves públicas y privadas cifradas.

    • El script debe devolver contenido sin procesar y codificado (sólo formato PEM).

    • El script externo debe tener permisos de ejecución.

  4. Rotar claves de cifrado

    Rota tus claves de cifrado (anula el registro de las claves actuales y registra claves nuevas). Para utilizar una clave de un sistema de administración de claves externo, debe especificar el ID de la clave pública y el ID de la clave privada.

  5. Restablecer claves predeterminadas

    Restablece la contraseña del usuario de adquisición y las claves de cifrado del usuario de adquisición a los valores predeterminados. Los valores predeterminados son los proporcionados durante la instalación.

  6. Cambiar contraseña de Truststore

    Cambiar la contraseña del almacén de confianza.

  7. Cambiar la contraseña del almacén de claves

    Cambiar la contraseña del almacén de claves.

  8. Contraseña del recopilador de cifrado

    Cifrar la contraseña del recopilador de datos.

  9. Salida

    Salga de la herramienta SecurityAdmin.

Elija la opción que desea configurar y siga las instrucciones.

Especificar un usuario para ejecutar la herramienta

Si se encuentra en un entorno controlado y consciente de la seguridad, es posible que no tenga el grupo cisys pero aún así desee que usuarios específicos ejecuten la herramienta SecurityAdmin.

Puede lograr esto instalando manualmente el software AU y especificando el usuario/grupo para el cual desea acceso.

  • Usando la API, descargue el instalador CI al sistema AU y descomprímalo.

    • Necesitará un token de autorización de un solo uso. Consulte la documentación de API Swagger (Admin > Acceso a API y seleccione el enlace Documentación de API) y busque la sección API GET /au/oneTimeToken.

    • Una vez que tenga el token, use la API GET /au/installers/{platform}/{version} para descargar el archivo de instalación. Necesitará proporcionar la plataforma (Linux o Windows) así como la versión del instalador.

  • Copie el archivo de instalación descargado al sistema AU y descomprímalo.

  • Navegue a la carpeta que contiene los archivos y ejecute el instalador como root, especificando el usuario y el grupo:

    ./cloudinsights-install.sh <User> <Group>

Si el usuario y/o grupo especificado no existe, se crearán. El usuario tendrá acceso a la herramienta SecurityAdmin.

Actualización o eliminación de proxy

La herramienta SecurityAdmin se puede utilizar para configurar o eliminar información de proxy para la Unidad de adquisición ejecutando la herramienta con el parámetro -pr:

[root@ci-eng-linau bin]# ./securityadmin -pr
usage: securityadmin -pr -ap <arg> | -h | -rp | -upr <arg>

The purpose of this tool is to enable reconfiguration of security aspects
of the Acquisition Unit such as encryption keys, and proxy configuration,
etc. For more information about this tool, please check the Data Infrastructure Insights
Documentation.

-ap,--add-proxy <arg>       add a proxy server.  Arguments: ip=ip
                             port=port user=user password=password
                             domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)
-h,--help
-rp,--remove-proxy          remove proxy server
-upr,--update-proxy <arg>   update a proxy.  Arguments: ip=ip port=port
                             user=user password=password domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)

Por ejemplo, para eliminar el proxy, ejecute este comando:

 [root@ci-eng-linau bin]# ./securityadmin -pr -rp
Debe reiniciar la unidad de adquisición después de ejecutar el comando.

Para actualizar un proxy, el comando es

./securityadmin -pr -upr <arg>

Recuperación de clave externa

Si proporciona un script de shell de UNIX, la unidad de adquisición puede ejecutarlo para recuperar la clave privada y la clave pública de su sistema de administración de claves.

Para recuperar la clave, Data Infrastructure Insights ejecutará el script, pasando dos parámetros: key id y key type. Key id se puede utilizar para identificar la clave en su sistema de gestión de claves. El tipo de clave es "pública" o "privada". Cuando el tipo de clave es "pública", el script debe devolver la clave pública. Cuando el tipo de clave es "privada", se debe devolver la clave privada.

Para enviar la clave de vuelta a la unidad de adquisición, el script debe imprimir la clave en la salida estándar. El script debe imprimir sólo la clave en la salida estándar; no se debe imprimir ningún otro texto en la salida estándar. Una vez que la clave solicitada se imprime en la salida estándar, el script debe salir con un código de salida de 0; cualquier otro código de retorno se considera un error.

El script debe registrarse en la unidad de adquisición mediante la herramienta SecurityAdmin, que ejecutará el script junto con la unidad de adquisición. El script debe tener permisos de lectura y ejecución para el usuario root y "cisys". Si el script de shell se modifica después del registro, el script de shell modificado debe volver a registrarse en la unidad de adquisición.

parámetro de entrada: id de clave

Identificador de clave utilizado para identificar la clave en el sistema de gestión de claves del cliente.

parámetro de entrada: tipo de clave

público o privado.

producción

La clave solicitada debe imprimirse en la salida estándar. Actualmente se admite una clave RSA de 2048 bits. Las claves deben codificarse e imprimirse en el siguiente formato: formato de clave privada: PEM, codificado en DER PKCS8 PrivateKeyInfo RFC 5958 formato de clave pública: PEM, codificado en DER X.509 SubjectPublicKeyInfo RFC 5280

código de salida

Código de salida de cero para el éxito. Todos los demás valores de salida se consideran un fracaso.

permisos de script

El script debe tener permisos de lectura y ejecución para el usuario root y "cisys".

registros

Las ejecuciones de scripts se registran. Los registros se pueden encontrar en: /var/log/netapp/cloudinsights/securityadmin/securityadmin.log /var/log/netapp/cloudinsights/acq/acq.log

Cifrado de una contraseña para su uso en API

La opción 8 le permite cifrar una contraseña, que luego puede pasar a un recopilador de datos a través de API.

Inicie la herramienta SecurityAdmin en modo interactivo y seleccione la opción 8: Cifrar contraseña.

 securityadmin.sh -i
Se le solicitará que ingrese la contraseña que desea cifrar.  Tenga en cuenta que los caracteres que escribe no se muestran en la pantalla.  Vuelva a ingresar la contraseña cuando se le solicite.

Alternativamente, si va a utilizar el comando en un script, en una línea de comando use securityadmin.sh con el parámetro "-enc", pasando su contraseña sin cifrar:

 securityadmin -enc mypassword
image:SecurityAdmin_Encrypt_Key_API_CLI_Example.png["Ejemplo de CLI"]

La contraseña cifrada se muestra en la pantalla. Copiar la cadena completa, incluidos los símbolos iniciales o finales.

Modo interactivo Cifrar contraseña, ancho=640

Para enviar la contraseña cifrada a un recopilador de datos, puede utilizar la API de recopilación de datos. La documentación de esta API se puede encontrar en Admin > Acceso a la API y hacer clic en el enlace "Documentación de la API". Seleccione el tipo de API "Recopilación de datos". Bajo el encabezado data_collection.data_collector, elija la API POST /collector/datasources para este ejemplo.

API para la recopilación de datos

Si establece la opción preEncrypted en True, cualquier contraseña que pase a través del comando API será tratada como ya cifrada; la API no volverá a cifrar las contraseñas. Al crear su API, simplemente pegue la contraseña previamente cifrada en la ubicación adecuada.

Ejemplo de API, ancho=600