Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Tiebreakerのホストとデータベースのインストールを保護する

共同作成者
PDF

MetroCluster Tiebreaker 1.5以降を実行する構成では、ホストOSとデータベースを保護および強化できます。

ホストを保護します

次のガイドラインは、Tiebreakerソフトウェアがインストールされているホストを保護する方法を示しています。

ユーザ管理の推奨事項

  • 「root」ユーザのアクセスを制限します。

    • rootアクセスに昇格できるユーザを使用して、Tiebreakerソフトウェアをインストールおよび管理できます。

    • ルートアクセスに昇格できないユーザを使用してTiebreakerソフトウェアを管理できます。

    • インストール時に、「mcctbgrp」という名前のグループを作成する必要があります。ホストのrootユーザとインストール中に作成されたユーザは、両方ともメンバーである必要があります。Tiebreakerソフトウェアを完全に管理できるのは、このグループのメンバーだけです。

      メモ このグループのメンバーでないユーザはTiebreakerソフトウェアやCLIにアクセスできません。ホスト上に追加のユーザを作成して、それらのユーザをグループのメンバーにすることができます。これらの追加メンバーは、Tiebreakerソフトウェアを完全に管理することはできません。ReadOnlyにアクセスできるため、モニタの追加、変更、削除はできません。

    • Tiebreakerをrootユーザとして実行しないでください。Tiebreakerの実行には、権限のない専用のサービスアカウントを使用します。

  • 「/etc/snmp/snmpd.conf」ファイルのデフォルトのコミュニティストリングを変更します。

  • 最小限の書き込み権限を許可します。権限のないTiebreakerサービスアカウントには、実行可能バイナリや構成ファイルを上書きするアクセス権がありません。Tiebreakerユーザが書き込みできるのは、ローカルのTiebreakerストレージ(統合バックエンドストレージなど)または監査ログのディレクトリとファイルだけです。

  • 匿名ユーザを許可しないでください。

    • AllowTcpForwardingを「no」に設定するか、matchディレクティブを使用して匿名ユーザを制限します。

関連情報

ベースラインホストセキュリティの推奨事項

  • ディスク暗号化を使用する

    • ディスク暗号化を有効にすることができます。FullDiskEncryption(ハードウェア)か、HostOS(ソフトウェア)またはSVMホストが提供する暗号化です。

  • 着信接続を許可する未使用のサービスを無効にします。使用していないサービスは無効にすることができます。Tiebreakerソフトウェアでは、Tiebreakerインストールからの接続はすべて発信であるため、受信接続にサービスは必要ありません。デフォルトで有効になっていて無効にできるサービスは次のとおりです。

    • HTTP / HTTPSサーバ

    • FTPサーバ

    • Telnet、RSH、rlogin

    • NFS、CIFS、およびその他のプロトコルアクセス

    • RDP(RemoteDesktopProtocol)、X11サーバ、VNC、またはその他のリモート「デスクトップ」サービスプロバイダー。

      メモ ホストをリモートで管理するには、シリアルコンソールアクセス(サポートされている場合)または少なくとも1つのプロトコルを有効にしておく必要があります。すべてのプロトコルを無効にすると、管理のためにホストに物理的にアクセスする必要があります。

  • FIPSを使用してホストを保護します

    • ホストOSをFIPS準拠モードでインストールしてからTiebreakerをインストールできます。

      メモ OpenJDK 19は、ホストがFIPSモードでインストールされているかどうかを起動時にチェックします。手動で変更する必要はありません。

    • ホストを保護する場合は、ユーザの介入なしにホストがブートできることを確認する必要があります。ユーザの操作が必要な場合、ホストが予期せずリブートしたときにTiebreaker機能を使用できないことがあります。この場合、Tiebreaker機能は手動操作後、ホストが完全にブートされた場合にのみ使用できます。

  • シェルコマンド履歴を無効にします。

  • 頻繁にアップグレードする。Tiebreakerは積極的に開発されており、セキュリティ修正プログラムや、キーの長さや暗号スイートなどのデフォルト設定の変更を組み込むには、頻繁に更新することが重要です。

  • HashiCorp Announcementメーリングリストに登録すると、新しいリリースのお知らせを受け取ることができます。Tiebreaker CHANGELOGにアクセスして、新しいリリースの最新のアップデートの詳細を確認してください。

  • 正しいファイル権限を使用してください。Tiebreakerソフトウェアを起動する前に、特に機密情報を含むファイルに対して適切な権限が適用されていることを必ず確認してください。

  • 多要素認証(MFA)は、管理者がユーザ名とパスワード以外のものを使用して自身を識別するように要求することで、組織のセキュリティを強化します。ユーザー名とパスワードは重要ですが、ブルートフォース攻撃に対して脆弱であり、第三者によって盗まれる可能性があります。

    • Red Hat Enterprise Linux 8にはMFAが用意されており、アカウントまたはLinuxホストに対して正常に認証するために複数の情報を指定する必要があります。追加情報 は、SMSまたはGoogle Authenticator、Twilio Authy、FreeOTPなどのアプリからの認証情報を介して携帯電話に送信されるワンタイムパスワードです。

関連情報

データベースのインストールを保護します

次のガイドラインは、MariaDB 10.xデータベースのインストールを保護および強化する方法を示しています。

  • 「root」ユーザのアクセスを制限します。

    • Tiebreakerは専用のアカウントを使用します。(設定)データを格納するアカウントとテーブルは、Tiebreakerのインストール時に作成されます。データベースへの昇格アクセスが必要なのは、インストール中だけです。

  • インストール中は、次のアクセス権と権限が必要です。

    • データベースとテーブルを作成する機能

    • グローバルオプションを作成する機能

    • データベースユーザを作成し、パスワードを設定する機能

    • データベース・ユーザをデータベースおよびテーブルに関連付け、アクセス権を割り当てる機能

      メモ Tiebreakerのインストール時に指定するユーザアカウントには、これらのすべての権限が必要です。異なるタスクに複数のユーザアカウントを使用することはサポートされていません。

  • データベースの暗号化を使用します

    メモ 暗号化設定は、Tiebreakerソフトウェアをインストールする前に有効にする必要があります。
関連情報