Skip to main content
ONTAP MetroCluster
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Proteggere l'installazione dell'host tiebreaker e del database

Collaboratori
PDF

Per le configurazioni che eseguono MetroCluster Tiebreaker 1.5 e versioni successive, è possibile proteggere e rafforzare il sistema operativo host e il database.

Proteggere l'host

Le seguenti linee guida mostrano come proteggere l'host in cui è installato il software Tiebreaker.

Consigli per la gestione degli utenti

  • Limitare l'accesso dell'utente "root".

    • È possibile utilizzare utenti in grado di elevare l'accesso root per installare e amministrare il software Tiebreaker.

    • È possibile utilizzare utenti che non sono in grado di elevare l'accesso root per amministrare il software Tiebreaker.

    • Durante l'installazione, è necessario creare un gruppo denominato "mctbgrp". L'utente root dell'host e l'utente creato durante l'installazione devono essere entrambi membri. Solo i membri di questo gruppo possono amministrare completamente il software di spareggio.

      Nota Gli utenti che non sono membri di questo gruppo non possono accedere al software Tiebreaker o alla CLI. È possibile creare utenti aggiuntivi sull'host e renderli membri del gruppo. Questi membri aggiuntivi non possono amministrare completamente il software Tiebreaker. Hanno accesso a ReadOnly e non possono aggiungere, modificare o eliminare i monitor.

    • Non eseguire tiebreaker come utente root. Utilizzare un account di servizio dedicato e senza privilegi per eseguire Tiebreaker.

  • Modificare la stringa di comunità predefinita nel file "/etc/snmp/snmpd.conf".

  • Consentire privilegi di scrittura minimi. L'account di servizio tiebreaker senza privilegi non deve avere accesso per sovrascrivere il binario eseguibile o qualsiasi file di configurazione. Solo le directory e i file per lo storage tiebreaker locale (ad esempio, per lo storage backend integrato) o i log di audit devono essere scrivibili dall'utente di tiebreaker.

  • Non consentire utenti anonimi.

    • Impostare AllowTcpForwarding su "no" o utilizzare la direttiva Match per limitare gli utenti anonimi.

Informazioni correlate

Raccomandazioni sulla protezione dell'host di base

  • Utilizzare la crittografia del disco

    • È possibile attivare la crittografia del disco. Può essere FullDiskEncryption (hardware) o la crittografia fornita dall'host (software) o dall'host SVM.

  • Disattiva i servizi inutilizzati che consentono le connessioni in entrata. È possibile disattivare qualsiasi servizio non in uso. Il software Tiebreaker non richiede un servizio per le connessioni in entrata perché tutte le connessioni dall'installazione di Tiebreaker sono in uscita. I servizi che potrebbero essere attivati per impostazione predefinita e che possono essere disattivati sono:

    • Server HTTP/HTTPS

    • Server FTP

    • Telnet, RSH, rlogin

    • Accesso a NFS, CIFS e altri protocolli

    • RDP (RemoteDesktopProtocol), X11 Server, VNC o altri provider di servizi "desktop" remoti.

      Nota Per amministrare l'host in remoto, è necessario lasciare attivato l'accesso alla console seriale (se supportato) o almeno un protocollo. Se si disattivano tutti i protocolli, è necessario disporre dell'accesso fisico all'host per l'amministrazione.

  • Proteggere l'host utilizzando FIPS

    • È possibile installare il sistema operativo host in modalità conforme a FIPS, quindi installare Tiebreaker.

      Nota OpenJDK 19 verifica all'avvio se l'host è installato in modalità FIPS. Non devono essere richieste modifiche manuali.

    • Se si protegge l'host, è necessario assicurarsi che sia in grado di avviarsi senza l'intervento dell'utente. Se è necessario l'intervento dell'utente, la funzionalità Tiebreaker potrebbe non essere disponibile se l'host si riavvia inaspettatamente. In questo caso, la funzionalità Tiebreaker è disponibile solo dopo l'intervento manuale e quando l'host è completamente avviato.

  • Disattiva Cronologia comandi shell.

  • Eseguire l'aggiornamento frequentemente. Tiebreaker è sviluppato attivamente e l'aggiornamento frequente è importante per incorporare correzioni di sicurezza e qualsiasi modifica nelle impostazioni predefinite, come la lunghezza delle chiavi o le suite di crittografia.

  • Iscriviti alla mailing list di HashiCorp Announcement per ricevere gli annunci delle nuove release e visita il sito di Tiebreaker CHANGELOG per maggiori dettagli sugli aggiornamenti più recenti delle nuove release.

  • Utilizzare le autorizzazioni file corrette. Prima di avviare il software Tiebreaker, assicurarsi sempre che vengano applicate autorizzazioni appropriate ai file, in particolare a quelli contenenti informazioni sensibili.

  • L'autenticazione multifattore (MFA) migliora la sicurezza della tua organizzazione richiedendo agli amministratori di identificarsi utilizzando più di un nome utente e una password. Anche se importante, i nomi utente e le password sono vulnerabili agli attacchi di forza bruta e possono essere rubati da terze parti.

    • Red Hat Enterprise Linux 8 fornisce MFA che richiede agli utenti di fornire più di un'informazione per eseguire correttamente l'autenticazione su un account o un host Linux. Le informazioni aggiuntive potrebbero essere una password monouso inviata al telefono cellulare tramite SMS o credenziali da un'applicazione come Google Authenticator, Twilio Authy o FreeOTP.

Informazioni correlate

Proteggere l'installazione del database

Le seguenti linee guida mostrano come proteggere e rafforzare l'installazione del database MariaDB 10.x.

  • Limitare l'accesso dell'utente "root".

    • Tiebreaker utilizza un account dedicato. L'account e le tabelle per la memorizzazione dei dati (di configurazione) vengono creati durante l'installazione di Tiebreaker. L'unica volta che è necessario un accesso elevato al database è durante l'installazione.

  • Durante l'installazione sono necessari i seguenti privilegi e accesso:

    • La possibilità di creare un database e tabelle

    • La possibilità di creare opzioni globali

    • La possibilità di creare un utente del database e di impostare la password

    • Possibilità di associare l'utente del database al database e alle tabelle e assegnare i diritti di accesso

      Nota L'account utente specificato durante l'installazione di Tiebreaker deve disporre di tutti questi privilegi. L'utilizzo di più account utente per le diverse attività non è supportato.

  • Utilizzare la crittografia del database

    Nota Le impostazioni di crittografia devono essere attivate prima dell'installazione del software Tiebreaker.
Informazioni correlate