La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Méthodes d'administration du système

07/18/2024 Contributeurs

Ce sont des paramètres importants pour renforcer l'administration du système ONTAP.

Accès en ligne de commande

L'établissement d'un accès sécurisé aux systèmes est un élément essentiel du maintien de la sécurité de la solution. Les options d'accès en ligne de commande les plus courantes sont SSH, Telnet et RSH. Parmi ces technologies, SSH est la meilleure pratique standard du secteur et la plus sécurisée pour l'accès à distance en ligne de commande. NetApp recommande vivement d'utiliser SSH pour l'accès en ligne de commande à la solution ONTAP.

Configurations SSH

La security ssh show commande affiche les configurations des algorithmes d'échange de clés SSH, du chiffrement et des algorithmes MAC pour le cluster et les SVM. La méthode d'échange de clés utilise ces algorithmes et ces chiffrements pour spécifier comment les clés de session à usage unique sont générées pour le cryptage et l'authentification et comment l'authentification du serveur a lieu.

cluster1::> security ssh show

Vserver       Ciphers       Key Exchange Algorithms     MAC Algorithms
--------  ----------------  --------------------------  --------------
nsadhanacluster-2
                aes256-ctr,   diffie-helman-group-      hmac-sha2-256
                aes192-ctr,	   exchange-sha256,         hmac-sha2-512
                aes128-ctr    ecdh-sha2-nistp384
vs0             aes128-gcm    curve25519-sha256         hmac-sha1
vs1             aes256-ctr,   diffie-hellman-group-     hmac-sha1-96
                aes192-ctr,   exchange-sha256           hmac-sha2-256
                aes128-ctr,   ecdh-sha2-nistp384        hmac-sha2-256-
				3des-cbc,     ecdh-sha2-nistp512        etm
				aes128-gcm                              hmac-sha2-512
3 entries were displayed.

Bannières de connexion

Les bannières de connexion permettent aux entreprises de présenter aux opérateurs, administrateurs, voire même aux utilisateurs malveillants, les conditions d'utilisation. Elles indiquent qui est autorisé à accéder au système. Cette approche est utile pour établir les attentes en matière d'accès et d'utilisation du système. La security login banner modify commande modifie la bannière de connexion. La bannière de connexion s'affiche juste avant l'étape d'authentification lors du processus de connexion SSH et du périphérique de la console. Le texte de la bannière doit être entre guillemets (« »), comme dans l'exemple suivant.

cluster1::> security login banner modify -vserver cluster1 -message “Authorized users ONLY!”

Paramètres de bannière de connexion

Paramètre Description

Paramètre	Description
`vserver`	Utiliser ce paramètre pour spécifier le SVM avec la bannière modifiée. Utiliser le nom du SVM admin du cluster pour modifier le message au niveau du cluster. La message au niveau du cluster est utilisée par défaut pour les SVM de données qui ne disposent pas de message défini.
`message`	Ce paramètre facultatif peut être utilisé pour spécifier un message de bannière de connexion. Si le cluster a un ensemble de messages de bannière de connexion, la bannière de connexion au cluster est également utilisée par tous les SVM de données. La définition de la bannière de connexion d'un SVM de données remplace l'affichage de la bannière de connexion du cluster. Pour réinitialiser une bannière de connexion SVM de données afin d'utiliser la bannière de connexion au cluster, utilisez ce paramètre avec la valeur « - ». Si vous utilisez ce paramètre, la bannière de connexion ne peut pas contenir de nouvelles lignes (également appelées extrémités de lignes [EOL] ou sauts de ligne). Pour saisir un message de bannière de connexion avec des lignes de rappel, ne spécifiez aucun paramètre. Vous êtes invité à saisir le message de manière interactive. Les messages entrés de manière interactive peuvent contenir des nouvelles lignes. Les caractères non ASCII doivent utiliser Unicode UTF-8.
`uri`	`(ftp
http)://(hostname	IPv4` Utilisez ce paramètre pour spécifier l'URI à partir de laquelle la bannière de connexion est téléchargée. La longueur du message ne doit pas dépasser 2048 octets. Les caractères non ASCII doivent être fournis au format Unicode UTF-8.

vserver

Utiliser ce paramètre pour spécifier le SVM avec la bannière modifiée. Utiliser le nom du SVM admin du cluster pour modifier le message au niveau du cluster. La message au niveau du cluster est utilisée par défaut pour les SVM de données qui ne disposent pas de message défini.

message

Ce paramètre facultatif peut être utilisé pour spécifier un message de bannière de connexion. Si le cluster a un ensemble de messages de bannière de connexion, la bannière de connexion au cluster est également utilisée par tous les SVM de données. La définition de la bannière de connexion d'un SVM de données remplace l'affichage de la bannière de connexion du cluster. Pour réinitialiser une bannière de connexion SVM de données afin d'utiliser la bannière de connexion au cluster, utilisez ce paramètre avec la valeur « - ».

Si vous utilisez ce paramètre, la bannière de connexion ne peut pas contenir de nouvelles lignes (également appelées extrémités de lignes [EOL] ou sauts de ligne). Pour saisir un message de bannière de connexion avec des lignes de rappel, ne spécifiez aucun paramètre. Vous êtes invité à saisir le message de manière interactive. Les messages entrés de manière interactive peuvent contenir des nouvelles lignes.

Les caractères non ASCII doivent utiliser Unicode UTF-8.

uri

`(ftp

http)://(hostname

IPv4`

Utilisez ce paramètre pour spécifier l'URI à partir de laquelle la bannière de connexion est téléchargée.

La longueur du message ne doit pas dépasser 2048 octets. Les caractères non ASCII doivent être fournis au format Unicode UTF-8.

Message du jour

La security login motd modify commande met à jour le message du jour (MOTD).

Il existe deux catégories de MOTD : le MOTD au niveau du cluster et le MOTD au niveau du SVM de données. Un utilisateur se connectant au cluster d'un SVM de données peut voir deux messages : le MOTD au niveau du cluster suivi du MOTD au niveau du SVM pour ce SVM.

L'administrateur du cluster peut activer ou désactiver le MOTD au niveau du cluster sur chaque SVM individuellement si nécessaire. Si l'administrateur du cluster désactive le MOTD au niveau du cluster pour un SVM, un utilisateur se connectant au SVM ne voit pas le message au niveau du cluster. Seul un administrateur de cluster peut activer ou désactiver le message au niveau du cluster.

Paramètre MOTD Description

Paramètre MOTD	Description
Un vServer	Utiliser ce paramètre pour spécifier le SVM pour lequel le MOTD est modifié. Utiliser le nom du SVM admin du cluster pour modifier le message au niveau du cluster.
messagerie	Ce paramètre facultatif peut être utilisé pour spécifier un message. Si vous utilisez ce paramètre, le MOTD ne peut pas contenir de nouvelles lignes. Si vous ne spécifiez aucun paramètre autre que le `-vserver` paramètre, vous êtes invité à saisir le message de manière interactive. Les messages entrés de manière interactive peuvent contenir des nouvelles lignes. Les caractères non ASCII doivent être fournis au format Unicode UTF-8. Le message peut contenir du contenu généré de façon dynamique à l'aide des séquences d'échappement suivantes : `\\` - Un seul caractère de jeu `\b` - Pas de sortie (pris en charge pour la compatibilité avec Linux uniquement) `\C` - Nom du cluster `\d` - La date actuelle telle qu'elle est définie sur le nœud de connexion `\t` - Heure actuelle définie sur le nœud de connexion `\I` - Adresse IP de LIF entrante (imprime la console pour une `console` connexion) `\l` - Nom du périphérique de connexion (imprime la console pour une `console` connexion) `\L` - Dernière connexion de l'utilisateur sur n'importe quel nœud du cluster `\m` - Architecture de la machine `\n` - Nom du nœud ou du SVM de données `\N` - Nom de l'utilisateur se connectant `\o` - Identique à \O. Fourni pour la compatibilité Linux. `\O` - Nom de domaine DNS du nœud. Notez que la sortie dépend de la configuration du réseau et peut être vide. `\r` - Numéro de version du logiciel `\s` - Nom du système d'exploitation `\u` - Nombre de sessions clustershell actives sur le nœud local. Pour l'administrateur du cluster : tous les utilisateurs du cluster shell. Pour le SVM de données admin : sessions actives uniquement pour ce SVM de données. `\U` - Identique à `\u`, mais a ou a `user` `users` ajouté `\v` - Chaîne de version de cluster effective `\W` - Sessions actives sur le cluster pour l'utilisateur se connectant (`who`)

Un vServer

Utiliser ce paramètre pour spécifier le SVM pour lequel le MOTD est modifié. Utiliser le nom du SVM admin du cluster pour modifier le message au niveau du cluster.

messagerie

Ce paramètre facultatif peut être utilisé pour spécifier un message. Si vous utilisez ce paramètre, le MOTD ne peut pas contenir de nouvelles lignes. Si vous ne spécifiez aucun paramètre autre que le -vserver paramètre, vous êtes invité à saisir le message de manière interactive. Les messages entrés de manière interactive peuvent contenir des nouvelles lignes. Les caractères non ASCII doivent être fournis au format Unicode UTF-8. Le message peut contenir du contenu généré de façon dynamique à l'aide des séquences d'échappement suivantes :

\\ - Un seul caractère de jeu
\b - Pas de sortie (pris en charge pour la compatibilité avec Linux uniquement)
\C - Nom du cluster
\d - La date actuelle telle qu'elle est définie sur le nœud de connexion
\t - Heure actuelle définie sur le nœud de connexion
\I - Adresse IP de LIF entrante (imprime la console pour une console connexion)
\l - Nom du périphérique de connexion (imprime la console pour une console connexion)
\L - Dernière connexion de l'utilisateur sur n'importe quel nœud du cluster
\m - Architecture de la machine
\n - Nom du nœud ou du SVM de données
\N - Nom de l'utilisateur se connectant
\o - Identique à \O. Fourni pour la compatibilité Linux.
\O - Nom de domaine DNS du nœud. Notez que la sortie dépend de la configuration du réseau et peut être vide.
\r - Numéro de version du logiciel
\s - Nom du système d'exploitation
\u - Nombre de sessions clustershell actives sur le nœud local. Pour l'administrateur du cluster : tous les utilisateurs du cluster shell. Pour le SVM de données admin : sessions actives uniquement pour ce SVM de données.
\U - Identique à \u, mais a ou a user users ajouté
\v - Chaîne de version de cluster effective
\W - Sessions actives sur le cluster pour l'utilisateur se connectant (who)

Pour plus d'informations sur la configuration du message du jour dans ONTAP, reportez-vous au "Documentation ONTAP sur message du jour".

Expiration de la session CLI

Le délai d'expiration par défaut de la session CLI est de 30 minutes. Le délai d'expiration est important pour éviter les sessions obsolètes et le piggydorsal de session.

Utilisez system timeout show la commande pour afficher le délai d'expiration actuel de la session de l'interface de ligne de commande. Pour définir la valeur du délai d'expiration, utilisez la system timeout modify -timeout <minutes> commande.

Accès Internet avec NetApp ONTAP System Manager

Si un administrateur ONTAP préfère utiliser une interface graphique au lieu de l'interface de ligne de commandes pour accéder au cluster et le gérer, utilisez NetApp ONTAP System Manager. Il est inclus avec ONTAP en tant que service Web, activé par défaut et accessible à l'aide d'un navigateur. Pointez le navigateur sur le nom d'hôte si vous utilisez DNS ou l'adresse IPv4 ou IPv6 via https://cluster-management-LIF.

Si le cluster utilise un certificat numérique auto-signé, il est possible que le navigateur affiche un avertissement indiquant que le certificat n'est pas approuvé. Vous pouvez soit reconnaître le risque de continuer l'accès, soit installer un certificat numérique signé par l'autorité de certification (CA) sur le cluster pour l'authentification du serveur.

Depuis ONTAP 9.3, l'authentification SAML (Security assertion Markup Language) est une option disponible dans ONTAP System Manager.

Authentification SAML pour ONTAP System Manager

SAML 2.0 est une norme du secteur largement adoptée qui permet à tout fournisseur d'identités tiers conforme à la norme SAML d'effectuer un MFA à l'aide de mécanismes propres à l'IDP choisi par l'entreprise et en tant que source d'authentification unique (SSO).

Trois rôles sont définis dans la spécification SAML : le principal, l'IDP et le fournisseur de services. Dans l'implémentation de ONTAP, un principal est l'administrateur du cluster qui accède à ONTAP via ONTAP System Manager ou NetApp Active IQ Unified Manager. Le PDI est un logiciel tiers IDP. Depuis ONTAP 9.3, Microsoft Active Directory Federated Services (ADFS) et l'IDP open source Shibboleth sont des PDI pris en charge. À partir de ONTAP 9.12.1, Cisco DUO est un IDP pris en charge. Le fournisseur de services est la fonctionnalité SAML intégrée à ONTAP qui est utilisée par ONTAP System Manager ou l'application Web Active IQ Unified Manager.

Contrairement au processus de configuration à deux facteurs SSH, une fois l'authentification SAML activée, l'accès à ONTAP System Manager ou au processeur de service ONTAP requiert l'authentification de tous les administrateurs existants via ce protocole. Aucune modification n'est requise pour les comptes utilisateur du cluster. Lorsque l'authentification SAML est activée, une nouvelle méthode d'authentification de saml est ajoutée aux utilisateurs existants disposant des rôles d'administrateur pour http et ontapi les applications.

Une fois l'authentification SAML activée, les nouveaux comptes supplémentaires nécessitant l'accès SAML IDP doivent être définis dans ONTAP avec le rôle d'administrateur et la méthode d'authentification saml pour et les http ontapi applications. Si l'authentification SAML est désactivée à un moment ou à un autre, ces nouveaux comptes requièrent que la password méthode d'authentification soit définie avec le rôle d'administrateur pour http et les applications et ontapi qu'elle ajoute l'application de console pour l'authentification ONTAP locale à ONTAP System Manager.

Une fois l'IDP SAML activé, il effectue l'authentification pour l'accès au Gestionnaire système ONTAP à l'aide des méthodes disponibles pour ce dernier, telles que le protocole LDAP (Lightweight Directory Access Protocol), Active Directory (AD), Kerberos, le mot de passe, etc. Les méthodes disponibles sont uniques au PDI. Il est important que les comptes configurés dans ONTAP aient des ID utilisateur qui correspondent aux méthodes d'authentification IDP.

Les PDI validés par NetApp sont Microsoft ADFS, Cisco DUO et Shibboleth IDP open source.

À partir de ONTAP 9.14.1, Cisco DUO peut être utilisé comme second facteur d'authentification pour SSH.

Pour plus d'informations sur MFA pour ONTAP System Manager, Active IQ Unified Manager et SSH, voir "Tr-4647 : authentification multifacteur dans ONTAP 9".

Informations ONTAP System Manager

À partir de ONTAP 9.11.1, ONTAP System Manager fournit des informations exploitables pour aider les administrateurs du cluster à rationaliser leurs tâches quotidiennes. Les informations de sécurité sont basées sur les recommandations de ce rapport technique.

Analyse de la sécurité	Détermination
Telnet est activé	NetApp recommande un accès sécurisé à distance (SSH).
Le shell distant (RSH) est activé	NetApp recommande SSH pour un accès distant sécurisé.
AutoSupport utilise un protocole non sécurisé	AutoSupport n'est pas configuré pour être envoyé via lien:HTTPS.
La bannière de connexion n'est pas configurée au niveau du cluster	Avertissement si la bannière de connexion n'est pas configurée pour le cluster.
SSH utilise des chiffrements non sécurisés	Avertissement si SSH utilise des chiffrements non sécurisés.
Trop peu de serveurs NTP sont configurés	Avertissement si le nombre de serveurs NTP configurés est inférieur à trois.
Utilisateur admin par défaut non verrouillé	Lorsque vous n'utilisez aucun compte d'administration par défaut (admin ou diag) pour vous connecter à System Manager et que ces comptes ne sont pas verrouillés, il est recommandé de les verrouiller.
Défense contre les ransomwares : les volumes n'ont pas de règles Snapshot	Aucune règle Snapshot adéquate n'est associée à un ou plusieurs volumes.
Défense contre les ransomware : désactivez la suppression automatique de Snapshot	La suppression automatique des snapshots est définie pour un ou plusieurs volumes.
Les attaques par ransomware ne font pas l'objet d'une surveillance des volumes	La protection anti-ransomware autonome est prise en charge sur plusieurs volumes, mais pas encore configurée.
Les SVM ne sont pas configurés pour la protection autonome contre les ransomware	La protection anti-ransomware autonome est prise en charge sur plusieurs SVM, mais pas encore configurée.
FPolicy natif n'est pas configuré	FPolicy n'est pas défini pour les SVM NAS.
Activez le mode actif de protection anti-ransomware autonome	Plusieurs volumes ont terminé leur mode d'apprentissage et vous pouvez activer le mode actif
La conformité à la norme FIPS 140-2 globale est désactivée	La conformité à la norme FIPS 140-2 globale n'est pas activée.
Le cluster n'est pas configuré pour les notifications	Les e-mails, les webhooks ou les traphosts SNMP ne sont pas configurés pour recevoir des notifications.

Analyse de la sécurité

Détermination

Telnet est activé

NetApp recommande un accès sécurisé à distance (SSH).

Le shell distant (RSH) est activé

NetApp recommande SSH pour un accès distant sécurisé.

AutoSupport utilise un protocole non sécurisé

AutoSupport n'est pas configuré pour être envoyé via lien:HTTPS.

La bannière de connexion n'est pas configurée au niveau du cluster

Avertissement si la bannière de connexion n'est pas configurée pour le cluster.

SSH utilise des chiffrements non sécurisés

Avertissement si SSH utilise des chiffrements non sécurisés.

Trop peu de serveurs NTP sont configurés

Avertissement si le nombre de serveurs NTP configurés est inférieur à trois.

Utilisateur admin par défaut non verrouillé

Lorsque vous n'utilisez aucun compte d'administration par défaut (admin ou diag) pour vous connecter à System Manager et que ces comptes ne sont pas verrouillés, il est recommandé de les verrouiller.

Défense contre les ransomwares : les volumes n'ont pas de règles Snapshot

Aucune règle Snapshot adéquate n'est associée à un ou plusieurs volumes.

Défense contre les ransomware : désactivez la suppression automatique de Snapshot

La suppression automatique des snapshots est définie pour un ou plusieurs volumes.

Les attaques par ransomware ne font pas l'objet d'une surveillance des volumes

La protection anti-ransomware autonome est prise en charge sur plusieurs volumes, mais pas encore configurée.

Les SVM ne sont pas configurés pour la protection autonome contre les ransomware

La protection anti-ransomware autonome est prise en charge sur plusieurs SVM, mais pas encore configurée.

FPolicy natif n'est pas configuré

FPolicy n'est pas défini pour les SVM NAS.

Activez le mode actif de protection anti-ransomware autonome

Plusieurs volumes ont terminé leur mode d'apprentissage et vous pouvez activer le mode actif

La conformité à la norme FIPS 140-2 globale est désactivée

La conformité à la norme FIPS 140-2 globale n'est pas activée.

Le cluster n'est pas configuré pour les notifications

Les e-mails, les webhooks ou les traphosts SNMP ne sont pas configurés pour recevoir des notifications.

Pour plus d'informations sur ONTAP System Manager Insights, consultez le "Informations exploitables avec ONTAP System Manager".