Skip to main content
ONTAP MetroCluster
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Sécurisez l'installation de l'hôte Tiebreaker et de la base de données

Contributeurs

Pour les configurations qui exécutent MetroCluster Tiebreaker 1.5 et versions ultérieures, vous pouvez sécuriser et renforcer le système d'exploitation hôte et la base de données.

Sécuriser l'hôte

Les instructions suivantes vous indiquent comment sécuriser l'hôte sur lequel le logiciel Tiebreaker est installé.

Recommandations de gestion des utilisateurs

  • Limitez l'accès de l'utilisateur « root ».

    • Vous pouvez utiliser des utilisateurs capables de passer à un accès racine pour installer et administrer le logiciel Tiebreaker.

    • Vous pouvez utiliser des utilisateurs qui ne sont pas en mesure de passer à l'accès racine pour administrer le logiciel Tiebreaker.

    • Lors de l'installation, vous devez créer un groupe nommé "mcctbgrp". L'utilisateur root de l'hôte et l'utilisateur créé pendant l'installation doivent tous deux être membres. Seuls les membres de ce groupe peuvent administrer entièrement le logiciel Tiebreaker.

      Remarque Les utilisateurs qui ne sont pas membres de ce groupe ne peuvent pas accéder au logiciel Tiebreaker ou à l'interface de ligne de commande. Vous pouvez créer des utilisateurs supplémentaires sur l'hôte et les faire membres du groupe. Ces membres supplémentaires ne peuvent pas administrer entièrement le logiciel Tiebreaker. Ils ont un accès en lecture seule et ne peuvent pas ajouter, modifier ou supprimer des moniteurs.
    • N'exécutez pas Tiebreaker en tant qu'utilisateur root. Utilisez un compte de service dédié et non privilégié pour exécuter Tiebreaker.

  • Modifiez la chaîne de communauté par défaut dans le fichier "/etc/snmp/snmpd.conf".

  • Autoriser des privilèges d'écriture minimaux. Le compte de service Tiebreaker non privilégié ne doit pas avoir accès à l'écrasement de son exécutable binaire ou de tout fichier de configuration. Seuls les répertoires et fichiers pour le stockage Tiebreaker local (par exemple, pour le stockage back-end intégré) ou les journaux d'audit doivent être inscriptibles par l'utilisateur Tiebreaker.

  • N'autorisez pas les utilisateurs anonymes.

    • Définissez AllowTcpForwarding sur "no" ou utilisez la directive match pour restreindre les utilisateurs anonymes.

Recommandations de sécurité hôte de base

  • Utilisez le chiffrement de disque

    • Vous pouvez activer le chiffrement de disque. Il peut s'agir de FullDiskEncryption (matériel), ou du cryptage fourni par HostOS (logiciel), ou par l'hôte SVM.

  • Désactivez les services inutilisés qui autorisent les connexions entrantes. Vous pouvez désactiver tout service qui n'est pas utilisé. Le logiciel Tiebreaker ne nécessite pas de service pour les connexions entrantes car toutes les connexions de l'installation Tiebreaker sont sortantes. Les services qui peuvent être activés par défaut et désactivés sont les suivants :

    • Serveur HTTP/HTTPS

    • Serveur FTP

    • Telnet, RSH, rlogin

    • Accès NFS, CIFS et autre protocole

    • RDP (RemoteDesktopProtocol), X11 Server, VNC ou d'autres fournisseurs de services distants « Desktop ».

      Remarque Vous devez laisser l'accès à la console série (si pris en charge) ou au moins un protocole activé pour administrer l'hôte à distance. Si vous désactivez tous les protocoles, vous devez disposer d'un accès physique à l'hôte pour l'administration.
  • Sécurisez l'hôte à l'aide de FIPS

    • Vous pouvez installer le système d'exploitation hôte en mode conforme FIPS, puis Tiebreaker.

      Remarque OpenJDK 19 vérifie au démarrage si l’hôte est installé en mode FIPS. Aucune modification manuelle ne doit être nécessaire.
    • Si vous sécurisez l'hôte, vous devez vous assurer qu'il peut démarrer sans intervention de l'utilisateur. Si une intervention de l'utilisateur est nécessaire, il est possible que la fonctionnalité Tiebreaker ne soit pas disponible si l'hôte redémarre de manière inattendue. Si cela se produit, la fonctionnalité Tiebreaker n'est disponible qu'après l'intervention manuelle et lorsque l'hôte est complètement démarré.

  • Désactiver l'historique des commandes Shell.

  • Mises à niveau fréquentes. Tiebreaker est activement développé, et la mise à jour est souvent importante pour incorporer des correctifs de sécurité et toute modification des paramètres par défaut tels que la longueur des clés ou les suites de chiffrement.

  • Abonnez-vous à la liste de diffusion de l'annonce HashiCorp pour recevoir les annonces de nouvelles versions et visitez le Tiebreaker CHANGELOG pour plus de détails sur les dernières mises à jour pour les nouvelles versions.

  • Utilisez les autorisations de fichier correctes. Assurez-vous toujours que les autorisations appropriées sont appliquées aux fichiers avant de démarrer le logiciel Tiebreaker, en particulier ceux contenant des informations sensibles.

  • L'authentification multifacteur (MFA) renforce la sécurité de votre entreprise en exigeant que les administrateurs s'identifient à l'aide de plusieurs nom d'utilisateur et mot de passe. Bien qu'important, les noms d'utilisateur et les mots de passe sont vulnérables aux attaques par force brute et peuvent être volés par des tiers.

    • Red Hat Enterprise Linux 8 fournit un MFA qui exige que les utilisateurs fournissent plusieurs informations pour s'authentifier avec succès auprès d'un compte ou d'un hôte Linux. Les informations supplémentaires peuvent être un mot de passe à usage unique envoyé à votre téléphone portable par SMS ou des informations d'identification à partir d'une application telle que Google Authenticator, Twilio Authy ou FreeOTP.

Sécurisez l'installation de la base de données

Les directives suivantes montrent comment sécuriser et renforcer l'installation de la base de données MariaDB 10.x.

  • Limitez l'accès de l'utilisateur « root ».

    • Tiebreaker utilise un compte dédié. Le compte et les tables de stockage des données (configuration) sont créés lors de l'installation de Tiebreaker. La seule fois que l'accès élevé à la base de données est requis, c'est lors de l'installation.

  • Pendant l'installation, les droits d'accès et privilèges suivants sont requis :

    • Possibilité de créer une base de données et des tables

    • Possibilité de créer des options globales

    • Possibilité de créer un utilisateur de base de données et de définir le mot de passe

    • Possibilité d'associer l'utilisateur de la base de données à la base de données et aux tables et d'attribuer des droits d'accès

      Remarque Le compte utilisateur que vous spécifiez pendant l'installation de Tiebreaker doit disposer de tous ces privilèges. L'utilisation de plusieurs comptes utilisateur pour les différentes tâches n'est pas prise en charge.
  • Utiliser le cryptage de la base de données

    Remarque Les paramètres de cryptage doivent être activés avant l'installation du logiciel Tiebreaker.
Informations associées