日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

システムカンリホウホウ

11/11/2024 共同作成者

これらは、ONTAPシステム管理を強化するための重要なパラメータです。

コマンドラインアクセス

ソリューションの安全性を守るには、システムとの間にセキュアなアクセスを確立することが重要です。コマンドラインアクセスの最も一般的なオプションとしては、SSH、Telnet、RSHがあります。このうちで最も安全なのがSSHであり、リモートコマンドラインアクセス用の業界標準のベストプラクティスとなっています。ONTAPソリューションへのコマンドラインアクセスにはSSHを使用することを強く推奨します。

SSHセツテイ

`security ssh show`コマンドは、クラスタおよびSVMのSSH鍵交換アルゴリズム、暗号、およびMACアルゴリズムの設定を表示します。鍵交換方式は、これらのアルゴリズムと暗号を使用して、暗号化や認証用の1回限りのセッション キーの生成方法、およびサーバ認証の実行方法を指定します。

cluster1::> security ssh show

Vserver       Ciphers       Key Exchange Algorithms     MAC Algorithms
--------  ----------------  --------------------------  --------------
nsadhanacluster-2
                aes256-ctr,   diffie-helman-group-      hmac-sha2-256
                aes192-ctr,	   exchange-sha256,         hmac-sha2-512
                aes128-ctr    ecdh-sha2-nistp384
vs0             aes128-gcm    curve25519-sha256         hmac-sha1
vs1             aes256-ctr,   diffie-hellman-group-     hmac-sha1-96
                aes192-ctr,   exchange-sha256           hmac-sha2-256
                aes128-ctr,   ecdh-sha2-nistp384        hmac-sha2-256-
				3des-cbc,     ecdh-sha2-nistp512        etm
				aes128-gcm                              hmac-sha2-512
3 entries were displayed.

ロクインハナ

ログインバナーを使用すると、すべてのオペレータと管理者、さらには不正ユーザにも、システムの利用条件を提示することができます。また、誰がシステムへのアクセスを許可されているかを伝えることもできます。ログインバナーは、システムに求められるアクセス方法や使用方法を確立するのに役立ちます。 `security login banner modify`コマンドは、ログインバナーを変更します。ログインバナーは、SSHおよびコンソールデバイスのログインプロセスで認証ステップの直前に表示されます。バナーテキストは、次の例に示すように、二重引用符（""）で囲む必要があります。

cluster1::> security login banner modify -vserver cluster1 -message "Authorized users ONLY!"

ログインバナーのパラメータ

パラメータ説明

パラメータ	説明
`vserver`	このパラメータを使用して、バナーを変更するSVMを指定します。クラスタレベルのメッセージを変更する場合は、クラスタ管理SVMの名前を使用します。クラスタレベルのメッセージは、メッセージが定義されていないデータSVM用のデフォルトとして使用されます。
`message`	（オプション）このパラメータは、ログインバナーメッセージを指定します。クラスタにログインバナーメッセージが設定されている場合、データSVMにもクラスタのログインバナーが使用されます。データSVMのログインバナーを設定すると、クラスタのログインバナーは表示されません。データSVMのログインバナーでクラスタのログインバナーを使用するようにリセットするには、このパラメータに値を指定します。このパラメータを使用する場合、ログインバナーに改行（EOL）を含めることはできません。改行付きのログインバナーメッセージを入力する場合は、パラメータを指定しないでください。そうすると、メッセージを入力するためのプロンプトが表示されます。対話形式で入力されたメッセージには改行を含めることができます。非ASCII文字にはUnicode UTF-8形式を使用する必要があります。
`uri`	`(ftp
http)://(hostname	IPv4` このパラメータを使用して、ログインバナーのダウンロード元のURIを指定します。メッセージの長さは2048バイトを超えてはなりません。ASCII以外の文字はUnicode UTF-8で指定する必要があります。

vserver

このパラメータを使用して、バナーを変更するSVMを指定します。クラスタレベルのメッセージを変更する場合は、クラスタ管理SVMの名前を使用します。クラスタレベルのメッセージは、メッセージが定義されていないデータSVM用のデフォルトとして使用されます。

message

（オプション）このパラメータは、ログインバナーメッセージを指定します。クラスタにログインバナーメッセージが設定されている場合、データSVMにもクラスタのログインバナーが使用されます。データSVMのログインバナーを設定すると、クラスタのログインバナーは表示されません。データSVMのログインバナーでクラスタのログインバナーを使用するようにリセットするには、このパラメータに値を指定します。

このパラメータを使用する場合、ログインバナーに改行（EOL）を含めることはできません。改行付きのログインバナーメッセージを入力する場合は、パラメータを指定しないでください。そうすると、メッセージを入力するためのプロンプトが表示されます。対話形式で入力されたメッセージには改行を含めることができます。

非ASCII文字にはUnicode UTF-8形式を使用する必要があります。

uri

`(ftp

http)://(hostname

IPv4`

このパラメータを使用して、ログインバナーのダウンロード元のURIを指定します。

メッセージの長さは2048バイトを超えてはなりません。ASCII以外の文字はUnicode UTF-8で指定する必要があります。

Message Of The Day

コマンドは、 security login motd modify Message Of The Day（MOTD；本日のメッセージ）を更新します。

MOTDには、クラスタレベルのMOTDとデータSVMレベルのMOTDの2種類があります。データSVMのクラスタシェルにログインしたユーザには、クラスタレベルのMOTDに続いて、そのSVMに対するSVMレベルのMOTDが表示されることがあります。

クラスタ管理者は、クラスタレベルのMOTDを必要に応じてSVM単位で有効または無効にできます。クラスタ管理者がSVMでクラスタレベルのMOTDを無効にした場合、そのSVMにログインしたユーザにはクラスタレベルのメッセージは表示されません。クラスタレベルのメッセージを有効または無効にできるのは、クラスタ管理者だけです。

MOTDパラメータ説明

MOTDパラメータ	説明
SVM	このパラメータを使用して、MOTDを変更するSVMを指定します。クラスタレベルのメッセージを変更する場合は、クラスタ管理SVMの名前を使用します。
メッセージ	（オプション）このパラメータを使用すると、メッセージを指定できます。このパラメータを使用する場合、MOTDに改行を含めることはできません。パラメータ以外のパラメータを指定しない場合は `-vserver` 、メッセージを対話型モードで入力するように求められます。対話形式で入力されたメッセージには改行を含めることができます。ASCII以外の文字はUnicode UTF-8で指定する必要があります。メッセージには、次のエスケープシーケンスを使用して、動的に生成される内容を含めることもできます。 `\\` - 1つのバックスラッシュ文字 `\b` -出力なし（Linuxとの互換性のためのみサポート） `\C` -クラスタ名 `\d` -ログインしたノードの現在の日付 `\t` -ログインしたノードの現在の時刻 `\I` -受信LIFのIPアドレス（ログインの場合は「console」と出力 `console` ） `\l` -ログインしたデバイス名（ログインの場合はconsoleと出力 `console` ） `\L` -ユーザによるクラスタ内のノードへの前回のログイン `\m` -マシンアーキテクチャ `\n` -ノードまたはデータSVMの名前 `\N` -ログインしているユーザの名前 `\o` -\Oと同じ。Linuxとの互換性を考慮して提供 `\O` -ノードのDNSドメイン名。出力はネットワーク構成によって異なり、空になる場合もあり `\r` -ソフトウェアリリース番号 `\s` -オペレーティングシステム名 `\u` -ローカルノードのアクティブなクラスタシェルセッションの数。クラスタ管理者の場合：すべてのクラスタシェルユーザ。データSVM管理の場合はそのデータSVMのアクティブなセッションのみが含まれる `\U` -と同じ \u`ですが、またはが付加されています。 `user `users` `\v` -有効なクラスタバージョン文字列 `\W` -ログインしているユーザのクラスタ全体でのアクティブなセッション (`who`）

SVM

このパラメータを使用して、MOTDを変更するSVMを指定します。クラスタレベルのメッセージを変更する場合は、クラスタ管理SVMの名前を使用します。

メッセージ

（オプション）このパラメータを使用すると、メッセージを指定できます。このパラメータを使用する場合、MOTDに改行を含めることはできません。パラメータ以外のパラメータを指定しない場合は -vserver 、メッセージを対話型モードで入力するように求められます。対話形式で入力されたメッセージには改行を含めることができます。ASCII以外の文字はUnicode UTF-8で指定する必要があります。メッセージには、次のエスケープシーケンスを使用して、動的に生成される内容を含めることもできます。

\\ - 1つのバックスラッシュ文字
\b -出力なし（Linuxとの互換性のためのみサポート）
\C -クラスタ名
\d -ログインしたノードの現在の日付
\t -ログインしたノードの現在の時刻
\I -受信LIFのIPアドレス（ログインの場合は「console」と出力 console ）
\l -ログインしたデバイス名（ログインの場合はconsoleと出力 console ）
\L -ユーザによるクラスタ内のノードへの前回のログイン
\m -マシンアーキテクチャ
\n -ノードまたはデータSVMの名前
\N -ログインしているユーザの名前
\o -\Oと同じ。Linuxとの互換性を考慮して提供
\O -ノードのDNSドメイン名。出力はネットワーク構成によって異なり、空になる場合もあり
\r -ソフトウェアリリース番号
\s -オペレーティングシステム名
\u -ローカルノードのアクティブなクラスタシェルセッションの数。クラスタ管理者の場合：すべてのクラスタシェルユーザ。データSVM管理の場合はそのデータSVMのアクティブなセッションのみが含まれる
\U -と同じ \u`ですが、またはが付加されています。 `user users
\v -有効なクラスタバージョン文字列
\W -ログインしているユーザのクラスタ全体でのアクティブなセッション (who）

ONTAPでのMessage Of The Dayの設定の詳細については、を参照してください "Message Of The Dayに関するONTAPのドキュメント"。

CLIセツシヨンタイムアウト

CLIセッションのデフォルトのタイムアウトは30分です。タイムアウトは古いセッションやセッションのピギーバックを防ぐために重要です。

現在のCLIセッションタイムアウトを表示するには、コマンドを使用し system timeout show ます。タイムアウト値を設定するには、コマンドを使用し system timeout modify -timeout <minutes> ます。

NetApp ONTAP System ManagerによるWebアクセス

ONTAP管理者がCLIではなくグラフィカルインターフェイスを使用してクラスタにアクセスして管理するには、NetApp ONTAP System Managerを使用します。System ManagerはWebサービスとしてONTAPに搭載されており、デフォルトで有効になっていて、ブラウザからアクセスできます。DNSまたはIPv4またはIPv6アドレスを使用している場合は、ブラウザでホスト名を指定し `https://cluster-management-LIF`ます。

自己署名デジタル証明書がクラスタで使用されている場合、信頼されていない証明書であることを示す警告がブラウザに表示されることがあります。危険を承諾してアクセスを続行するか、認証局（CA）の署名のあるデジタル証明書をクラスタにインストールしてサーバを認証します。

ONTAP 9.3以降では、Security Assertion Markup Language（SAML）認証はONTAP System Managerのオプションです。

ONTAP System ManagerのSAML認証

SAML 2.0は広く採用されている業界標準で、SAMLに準拠したサードパーティのアイデンティティプロバイダ（IdP）が、企業が選択したIdP固有のメカニズムを使用してシングルサインオン（SSO）のソースとしてMFAを実行できるようにします。

SAML仕様では、プリンシパル、IdP、サービスプロバイダの3つのロールが定義されています。ONTAP環境の場合、プリンシパルは、ONTAP System ManagerまたはNetApp Active IQ Unified Managerを通じてONTAPにアクセスするクラスタ管理者です。IdPはサードパーティのIdPソフトウェアです。ONTAP 9.3以降では、Microsoft Active Directoryフェデレーションサービス（ADFS）とオープンソースのシボレスIdPがサポートされます。ONTAP 9.12.1以降では、Cisco Duoがサポートされています。サービスプロバイダは、ONTAPに組み込まれているSAML機能で、ONTAP System ManagerまたはActive IQ Unified Manager Webアプリケーションで使用されます。

SSHの2要素設定プロセスとは異なり、SAML認証をアクティブ化すると、ONTAP System ManagerまたはONTAPサービスプロセッサのアクセスでは既存のすべての管理者にSAML IdPによる認証が要求されます。クラスタユーザアカウントへの変更は必要ありません。SAML認証を有効にすると、およびアプリケーションの管理者ロールを持つ既存のユーザに新しい認証方式が saml 追加され http ontapi ます。

SAML認証を有効にしたあとに、アプリケーションおよびアプリケーションに対して、SAML IdPアクセスを必要とする追加のアカウントを管理者ロールとSAML認証方式でONTAPで定義する必要があります http ontapi 。ある時点でSAML認証が無効になった場合、これらの新しいアカウントに、およびアプリケーション用の管理者ロールを指定した認証方式を定義し、ローカルのONTAP認証用のアプリケーションをONTAP System Managerに追加する必要があります password http ontapi console 。

SAML IdPを有効にすると、IdPは、Lightweight Directory Access Protocol（LDAP）、Active Directory（AD）、Kerberos、パスワードなど、IdPで使用可能な方式を使用してONTAP System Managerへのアクセスの認証を実行します。使用可能な方式はIdPごとに異なります。ONTAPで設定したアカウントのユーザIDがIdPの認証方式に対応していることが重要になります。

NetAppによって検証されたIdPは、Microsoft ADFS、Cisco Duo、およびオープンソースのShibboleth IdPです。

ONTAP 9.14.1以降では、Cisco DuoをSSHの2番目の認証ファクターとして使用できます。

ONTAP System Manager、Active IQ Unified Manager、およびSSHのMFAの詳細については、を参照してください "TR-4647：『Multifactor Authentication in ONTAP 9』"。

ONTAP System Managerの分析情報

ONTAP 9.11.1以降のONTAP System Managerには、クラスタ管理者が日常的なタスクを合理化するための分析情報が用意されています。セキュリティに関する分析情報は、このテクニカルレポートの推奨事項に基づいています。

セキュリティインサイト	決定
Telnetが有効	NetAppでは、セキュアなリモートアクセスにセキュアシェル（SSH）を推奨しています。
Remote Shell（RSH；リモートシェル）が有効	NetAppでは、セキュアなリモートアクセスにSSHを推奨しています。
AutoSupportでセキュアでないプロトコルが使用されています	AutoSupportは、LINK:HTTPS経由で送信されるように設定されていません。
クラスタレベルでログインバナーが設定されていません	警告：クラスタにログインバナーが設定されていません。
SSH でセキュアでない暗号を使用	SSHでセキュアでない暗号が使用されている場合の警告。
設定されているNTPサーバが少なすぎます	Warning：設定されているNTPサーバの数が3つ未満の場合。
デフォルトの管理ユーザがロックされていない	デフォルトの管理アカウント（adminまたはdiag）を使用してSystem Managerにログインしない場合、それらのアカウントがロックされていないときは、ロックすることを推奨します。
ランサムウェア対策-ボリュームにSnapshotポリシーがありません	適切なSnapshotポリシーが1つ以上のボリュームに関連付けられていません。
ランサムウェア対策- Snapshotの自動削除を無効にする	Snapshotの自動削除が1つ以上のボリュームに対して設定されています。
ボリュームはランサムウェア攻撃に対して監視されていない	自律型ランサムウェア対策は複数のボリュームでサポートされていますが、まだ設定されていません。
SVMに自律型ランサムウェア対策が設定されていない	自律型ランサムウェア対策は、いくつかのSVMでサポートされますが、まだ設定されていません。
ネイティブFPolicyが設定されていない	NAS SVMに対してはFPolicyが設定されません。
自律型ランサムウェア対策アクティブモードを有効にする	複数のボリュームがラーニングモードを完了しました。アクティブモードをオンにすることができます。
FIPS 140-2へのグローバルな準拠が無効になっている	グローバルなFIPS 140-2準拠が有効になっていません。
通知用のクラスタが設定されていません	Eメール、Webhook、またはSNMPトラップホストは、通知を受信するように設定されていません。

セキュリティインサイト

決定

Telnetが有効

NetAppでは、セキュアなリモートアクセスにセキュアシェル（SSH）を推奨しています。

Remote Shell（RSH；リモートシェル）が有効

NetAppでは、セキュアなリモートアクセスにSSHを推奨しています。

AutoSupportでセキュアでないプロトコルが使用されています

AutoSupportは、LINK:HTTPS経由で送信されるように設定されていません。

クラスタレベルでログインバナーが設定されていません

警告：クラスタにログインバナーが設定されていません。

SSH でセキュアでない暗号を使用

SSHでセキュアでない暗号が使用されている場合の警告。

設定されているNTPサーバが少なすぎます

Warning：設定されているNTPサーバの数が3つ未満の場合。

デフォルトの管理ユーザがロックされていない

デフォルトの管理アカウント（adminまたはdiag）を使用してSystem Managerにログインしない場合、それらのアカウントがロックされていないときは、ロックすることを推奨します。

ランサムウェア対策-ボリュームにSnapshotポリシーがありません

適切なSnapshotポリシーが1つ以上のボリュームに関連付けられていません。

ランサムウェア対策- Snapshotの自動削除を無効にする

Snapshotの自動削除が1つ以上のボリュームに対して設定されています。

ボリュームはランサムウェア攻撃に対して監視されていない

自律型ランサムウェア対策は複数のボリュームでサポートされていますが、まだ設定されていません。

SVMに自律型ランサムウェア対策が設定されていない

自律型ランサムウェア対策は、いくつかのSVMでサポートされますが、まだ設定されていません。

ネイティブFPolicyが設定されていない

NAS SVMに対してはFPolicyが設定されません。

自律型ランサムウェア対策アクティブモードを有効にする

複数のボリュームがラーニングモードを完了しました。アクティブモードをオンにすることができます。

FIPS 140-2へのグローバルな準拠が無効になっている

グローバルなFIPS 140-2準拠が有効になっていません。

通知用のクラスタが設定されていません

Eメール、Webhook、またはSNMPトラップホストは、通知を受信するように設定されていません。

ONTAP System Managerのインサイトの詳細については、を参照して "ONTAP System Managerインサイトドキュメント"ください。