Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Metodi di amministrazione del sistema

Collaboratori
PDF

Questi sono parametri importanti per rafforzare l'amministrazione del sistema ONTAP.

Accesso a riga di comando

Stabilire un accesso sicuro ai sistemi è fondamentale per mantenere una soluzione sicura. Le opzioni di accesso alla riga di comando più comuni sono SSH, Telnet e RSH. Di questi, SSH è la Best practice più sicura e standard del settore per l'accesso remoto a riga di comando. NetApp consiglia vivamente di utilizzare SSH per l'accesso a riga di comando alla soluzione ONTAP.

Configurazioni SSH

Il security ssh show comando mostra le configurazioni degli algoritmi di scambio chiavi SSH, cifrari e algoritmi MAC per il cluster e le SVM. Il metodo di scambio della chiave utilizza questi algoritmi e cifrari per specificare il modo in cui le chiavi di sessione monouso vengono generate per la crittografia e l'autenticazione e come avviene l'autenticazione del server.

cluster1::> security ssh show

Vserver       Ciphers       Key Exchange Algorithms     MAC Algorithms
--------  ----------------  --------------------------  --------------
nsadhanacluster-2
                aes256-ctr,   diffie-helman-group-      hmac-sha2-256
                aes192-ctr,	   exchange-sha256,         hmac-sha2-512
                aes128-ctr    ecdh-sha2-nistp384
vs0             aes128-gcm    curve25519-sha256         hmac-sha1
vs1             aes256-ctr,   diffie-hellman-group-     hmac-sha1-96
                aes192-ctr,   exchange-sha256           hmac-sha2-256
                aes128-ctr,   ecdh-sha2-nistp384        hmac-sha2-256-
				3des-cbc,     ecdh-sha2-nistp512        etm
				aes128-gcm                              hmac-sha2-512
3 entries were displayed.

I banner di accesso consentono alle organizzazioni di presentare agli operatori, agli amministratori e persino ai malintenzionati i termini e le condizioni di corretto utilizzo, indicando chi ha il permesso di accedere al sistema. Questo approccio è utile per stabilire le aspettative per l'accesso e l'utilizzo del sistema. Il security login banner modify comando modifica il banner di accesso. Il banner di accesso viene visualizzato poco prima della fase di autenticazione durante il processo di login del dispositivo SSH e della console. Il testo del banner deve essere tra virgolette doppie (" "), come illustrato nell'esempio seguente.

cluster1::> security login banner modify -vserver cluster1 -message “Authorized users ONLY!”

Parametri banner di accesso

Parametro Descrizione

vserver

Utilizzare questo parametro per specificare la SVM con il banner modificato. Utilizza il nome della SVM di amministrazione cluster per modificare il messaggio a livello di cluster. Il messaggio a livello di cluster è utilizzato come impostazione predefinita per le SVM di dati che non hanno definito un messaggio.

message

Questo parametro opzionale può essere utilizzato per specificare un messaggio banner di accesso. Se il cluster ha un set di messaggi di login banner, anche il banner di login al cluster viene utilizzato da tutte le SVM di dati. L'impostazione del banner di accesso di una SVM dati ha la priorità sulla visualizzazione del banner di accesso al cluster. Per reimpostare il banner di accesso di una SVM dati e utilizzare il banner di accesso del cluster, utilizza questo parametro con il valore "-".

Se si utilizza questo parametro, il banner di accesso non può contenere nuove righe (note anche come estremità delle righe [EOLS] o interruzioni di riga). Per immettere un messaggio banner di accesso con nuove righe, non specificare alcun parametro. Viene richiesto di immettere il messaggio in modo interattivo. I messaggi immessi in modo interattivo possono contenere nuove righe.

I caratteri non ASCII devono utilizzare Unicode UTF-8.

uri

`(ftp

http)://(hostname

IPv4`

Utilizzare questo parametro per specificare l'URI da cui viene scaricato il banner di accesso.

La lunghezza del messaggio non deve superare i 2048 byte. I caratteri non ASCII devono essere forniti come Unicode UTF-8.

Messaggio del giorno

Il security login motd modify comando aggiorna il messaggio del giorno (MOTD).

Ci sono due categorie di MOTD: Il MOTD a livello di cluster e il MOTD a livello di SVM dati. Un utente che accede alla shell di un cluster di dati della SVM potrebbe visualizzare due messaggi: Il MOTD a livello di cluster seguito dal MOTD a livello di SVM per tale SVM.

L'amministratore del cluster può attivare o disattivare il MOTD a livello di cluster su ciascuna SVM singolarmente, se necessario. Se l'amministratore del cluster disabilita il MOTD a livello di cluster per una SVM, un utente che accede alla SVM non visualizza il messaggio a livello di cluster. Solo un amministratore del cluster può attivare o disattivare il messaggio a livello di cluster.

Parametro MOTD Descrizione

Server virtuale

Utilizzare questo parametro per specificare la SVM per la quale viene modificato il MOTD. Utilizza il nome della SVM di amministrazione cluster per modificare il messaggio a livello di cluster.

messaggio

Questo parametro opzionale può essere utilizzato per specificare un messaggio. Se si utilizza questo parametro, MOTD non può contenere nuove righe. Se non si specifica alcun parametro diverso dal -vserver parametro, viene richiesto di immettere il messaggio in modo interattivo. I messaggi immessi in modo interattivo possono contenere nuove righe. I caratteri non ASCII devono essere forniti come Unicode UTF-8. Il messaggio può contenere contenuti generati dinamicamente utilizzando le seguenti sequenze di escape:

  • \\ - Un singolo carattere di gioco

  • \b - Nessun output (supportato solo per la compatibilità con Linux)

  • \C - Nome cluster

  • \d - La data corrente impostata sul nodo di accesso

  • \t - Ora corrente impostata sul nodo di accesso

  • \I - Indirizzo IP LIF in entrata (stampa la console per console l'accesso)

  • \l - Nome dispositivo di accesso (stampa la console per un console login)

  • \L - Ultimo accesso per l'utente su qualsiasi nodo nel cluster

  • \m - Architettura della macchina

  • \n - Nome SVM del nodo o dei dati

  • \N - Nome dell'utente che effettua l'accesso

  • \o - Uguale a \O. Fornito per la compatibilità con Linux.

  • \O - Nome dominio DNS del nodo. Si noti che l'output dipende dalla configurazione di rete e potrebbe essere vuoto.

  • \r - Numero di versione del software

  • \s - Nome del sistema operativo

  • \u - Numero di sessioni clustershell attive sul nodo locale. Per l'amministratore del cluster: Tutti gli utenti di clustershell. Per l'amministratore della SVM dei dati: Solo sessioni attive per la SVM dei dati.

  • \U - Uguale a \u, ma ha user o users aggiunto

  • \v - Stringa della versione del cluster effettiva

  • \W - Sessioni attive nel cluster per l'accesso dell'utente (who)

Per ulteriori informazioni sulla configurazione del messaggio del giorno in ONTAP, vedere "Documentazione ONTAP su messaggio del giorno".

Timeout sessione CLI

Il timeout predefinito della sessione CLI è di 30 minuti. Il timeout è importante per evitare sessioni stalose e piggybacking di sessione.

Utilizzare il system timeout show comando per visualizzare il timeout della sessione CLI corrente. Per impostare il valore di timeout, utilizzare system timeout modify -timeout <minutes> il comando.

Accesso Web con Gestione di sistema di NetApp ONTAP

Se un amministratore di ONTAP preferisce utilizzare un'interfaccia grafica anziché l'interfaccia CLI per l'accesso e la gestione di un cluster, usa NetApp ONTAP System Manager. È incluso in ONTAP come servizio Web, attivato per impostazione predefinita e accessibile tramite un browser. Puntare il browser al nome host se si utilizza DNS o l'indirizzo IPv4 o IPv6 tramite https://cluster-management-LIF.

Se il cluster utilizza un certificato digitale autofirmato, il browser potrebbe visualizzare un avviso che indica che il certificato non è attendibile. È possibile confermare il rischio di continuare l'accesso o installare un certificato digitale firmato dall'autorità di certificazione (CA) sul cluster per l'autenticazione del server.

A partire da ONTAP 9,3, l'autenticazione SAML (Security Assertion Markup Language) è un'opzione per Gestione di sistema di ONTAP.

Autenticazione SAML per Gestione di sistema ONTAP

SAML 2,0 è uno standard di settore ampiamente adottato che consente a qualsiasi Identity provider (IdP) conforme a SAML di terze parti di eseguire MFA utilizzando meccanismi esclusivi dell'IdP dell'azienda e come origine del single sign-on (SSO).

Nella specifica SAML sono definiti tre ruoli: Principal, IdP e Service Provider. Nell'implementazione di ONTAP, un'entità è rappresentata dall'amministratore del cluster che accede a ONTAP tramite ONTAP System Manager o NetApp Active IQ Unified Manager. L'IdP è un software IdP di terze parti. A partire da ONTAP 9,3, Microsoft Active Directory Federated Services (ADFS) e l'IdP Shibboleth open-source sono IDP supportati. A partire da ONTAP 9.12.1, Cisco DUO è un IdP supportato. Il provider di servizi è la funzionalità SAML integrata in ONTAP utilizzata dal gestore di sistema di ONTAP o dall'applicazione Web di Active IQ Unified Manager.

A differenza del processo di configurazione a due fattori SSH, dopo l'attivazione dell'autenticazione SAML, l'accesso al Gestore di sistema ONTAP o al processore di servizio ONTAP richiede a tutti gli amministratori esistenti di eseguire l'autenticazione tramite l'IdP SAML. Non è necessario apportare modifiche agli account utente cluster. Quando l'autenticazione SAML è attivata, viene aggiunto un nuovo metodo di autenticazione di saml agli utenti esistenti con ruoli di amministratore per le http applicazioni e ontapi .

Dopo l'attivazione dell'autenticazione SAML, è necessario definire altri nuovi account che richiedono l'accesso IdP SAML in ONTAP con il ruolo di amministratore e il metodo di autenticazione saml per le http applicazioni e ontapi . Se a un certo punto l'autenticazione SAML è disabilitata, questi nuovi account richiedono che il password metodo di autenticazione sia definito con il ruolo di amministratore per http le applicazioni e ontapi l'aggiunta dell'applicazione console per l'autenticazione ONTAP locale a Gestione sistema ONTAP.

Dopo l'abilitazione dell'IdP SAML, l'IdP esegue l'autenticazione per l'accesso a ONTAP System Manager utilizzando metodi disponibili per l'IdP, come Lightweight Directory Access Protocol (LDAP), Active Directory (ad), Kerberos, password e così via. I metodi disponibili sono esclusivi dell'IdP. È importante che gli account configurati in ONTAP dispongano di ID utente associati ai metodi di autenticazione IdP.

Gli IDP convalidati da NetApp sono Microsoft ADFS, Cisco DUO e l'open-source Shibboleth IdP.

A partire da ONTAP 9.14.1, è possibile utilizzare Cisco DUO come secondo fattore di autenticazione per SSH.

Per ulteriori informazioni su MFA per Gestore di sistema ONTAP, Active IQ Unified Manager e SSH, vedere "TR-4647: Autenticazione multifattore in ONTAP 9".

Informazioni su System Manager di ONTAP

A partire da ONTAP 9.11.1, ONTAP System Manager fornisce informazioni utili agli amministratori dei cluster per ottimizzare i task di tutti i giorni. Le informazioni sulla sicurezza si basano sulle raccomandazioni contenute in questo report tecnico.

Informazioni sulla sicurezza Determinazione

Telnet è attivato

NetApp consiglia Secure Shell (SSH) per un accesso remoto sicuro.

Remote Shell (RSH) è attivato

NetApp consiglia SSH per un accesso remoto sicuro.

AutoSupport sta utilizzando un protocollo non sicuro

AutoSupport non è configurato per l'invio tramite link:HTTPS.

Il banner di accesso non è configurato sul cluster a livello di cluster

Avvertenza se il banner di accesso non è configurato per il cluster.

SSH sta utilizzando cifrari non sicuri

Avvertimento se SSH utilizza cifrari non sicuri.

Sono stati configurati troppi server NTP

Avvertenza se il numero di server NTP configurati è inferiore a tre.

Utente amministratore predefinito non bloccato

Quando non si utilizzano account amministrativi predefiniti (admin o diag) per accedere a System Manager e questi account non sono bloccati, si consiglia di bloccarli.

Difesa da ransomware: I volumi non dispongono di policy Snapshot

Nessuna policy Snapshot adeguata è collegata a uno o più volumi.

Difesa dal ransomware — disattiva l'eliminazione automatica delle snapshot

L'eliminazione automatica dello snapshot è impostata per uno o più volumi.

I volumi non vengono monitorati alla ricerca di attacchi ransomware

La protezione autonoma da ransomware è supportata su diversi volumi, ma non ancora configurata.

Le SVM non sono configurate per la protezione autonoma da ransomware

La protezione autonoma da ransomware è supportata su diverse SVM, ma non ancora configurata.

FPolicy nativo non è configurato

FPolicy non è impostato per SVM NAS.

Attiva la modalità attiva di protezione autonoma dal ransomware

Diversi volumi hanno completato la modalità di apprendimento ed è possibile attivare la modalità attiva

La compliance FIPS globale 140-2 è disattivata

La conformità FIPS 140-2 globale non è abilitata.

Il cluster non è configurato per le notifiche

E-mail, webhook o traphost SNMP non sono configurati per ricevere notifiche.

Per ulteriori informazioni su Gestione di sistema di ONTAP, vedere "Documentazione di ONTAP System Manager".