Skip to main content
Data Infrastructure Insights
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

SecurityAdmin 도구

기여자

Data Infrastructure Insights에는 환경을 향상된 보안으로 운영할 수 있는 보안 기능이 포함되어 있습니다. 암호화, 암호 해싱의 개선, 내부 사용자 암호 변경 기능, 암호 암호화 및 암호 해독을 위한 키 쌍 등의 기능이 있습니다.

중요한 데이터를 보호하려면 설치 또는 업그레이드 후에 기본 키와 _Acquisition_user 암호를 변경하는 것이 좋습니다.

데이터 소스의 암호화된 암호는 사용자가 데이터 수집기 구성 페이지에 입력할 때 공개 키를 사용하여 암호를 암호화하는 Data Infrastructure Insights에 저장됩니다. Data Infrastructure Insights에는 데이터 수집기 암호를 해독하는 데 필요한 개인 키가 없습니다. AUS(Acquisition Unit)에만 데이터 수집기 암호를 해독하는 데 필요한 데이터 수집기 개인 키가 있습니다.

업그레이드 및 설치 고려 사항

Insight 시스템에 기본이 아닌 보안 구성(예: 암호 키 다시 입력)이 포함된 경우 보안 구성을 백업해야 합니다. 새 소프트웨어를 설치하거나 소프트웨어를 업그레이드하는 경우 시스템을 기본 보안 구성으로 되돌립니다. 시스템이 기본 구성으로 복원되면 시스템이 올바르게 작동하려면 기본이 아닌 구성을 복원해야 합니다.

획득 장치의 보안 관리

SecurityAdmin 도구를 사용하면 Data Infrastructure Insights의 보안 옵션을 관리할 수 있으며 획득 장치 시스템에서 실행됩니다. 보안 관리에는 키 및 암호 관리, 사용자가 만들고 복원한 보안 구성을 기본 설정으로 저장 및 복원하는 작업이 포함됩니다.

시작하기 전에

  • 획득 장치 소프트웨어(SecurityAdmin 도구 포함)를 설치하려면 AU 시스템에 대한 관리자 권한이 있어야 합니다.

  • 나중에 SecurityAdmin 도구에 액세스해야 하는 관리자가 아닌 사용자가 있는 경우 _cisys_group에 추가해야 합니다. AU 설치 중에 _cisys_group이 생성됩니다.

AU 설치 후 다음 위치 중 하나에 있는 획득 장치 시스템에서 SecurityAdmin 도구를 찾을 수 있습니다.

Windows - C:\Program Files\SANscreen\securityadmin\bin\securityadmin.bat
Linux - /bin/oci-securityadmin.sh

SecurityAdmin 도구 사용

대화형 모드(-I)에서 SecurityAdmin 도구를 시작합니다.

참고 명령줄에서 암호를 전달하지 않도록 대화형 모드에서 SecurityAdmin 도구를 사용하는 것이 좋습니다. 이 도구는 로그에 캡처될 수 있습니다.

다음 옵션이 표시됩니다.

SecurityAdmin 도구(Linux) 옵션

  1. * 백업 *

    모든 암호 및 키가 포함된 볼트의 백업 zip 파일을 작성하고 사용자가 지정한 위치 또는 다음 기본 위치에 파일을 배치합니다.

    Windows - C:\Program Files\SANscreen\backup\vault
    Linux - /var/log/netapp/oci/backup/vault

    볼트 백업은 중요한 정보를 포함하기 때문에 안전하게 유지하는 것이 좋습니다.

  2. * 복원 *

    작성된 볼트의 zip 백업을 복원합니다. 복원되면 모든 암호와 키는 백업 생성 시 기존 값으로 되돌려집니다.

    복원은 여러 서버의 암호 및 키를 동기화하는 데 사용할 수 있습니다. 예를 들어 다음 단계를 사용합니다. 1) AU의 암호화 키 변경 2) 볼트 백업을 작성합니다. AUS 각각에 볼트 백업을 복원합니다.

  3. * 외부 키 검색 스크립트 등록/업데이트 *

    외부 스크립트를 사용하여 장치 암호를 암호화 또는 해독하는 데 사용되는 AU 암호화 키를 등록하거나 변경합니다.

    암호화 키를 변경할 때는 업그레이드 또는 설치 후 복원할 수 있도록 새 보안 구성을 백업해야 합니다.

    참고 이 옵션은 Linux에서만 사용할 수 있습니다.

    SecurityAdmin 도구와 함께 사용자 고유의 키 검색 스크립트를 사용하는 경우 다음 사항을 염두에 두십시오.

    • 현재 지원되는 알고리즘은 최소 2048비트의 RSA입니다.

    • 스크립트는 개인 키와 공개 키를 일반 텍스트로 반환해야 합니다. 스크립트는 암호화된 개인 키와 공개 키를 반환하지 않아야 합니다.

    • 스크립트는 원시 인코딩된 내용을 반환해야 합니다(PEM 형식만 해당).

    • 외부 스크립트에는 _execute_permissions 가 있어야 합니다.

  4. * 암호화 키 회전 *

    암호화 키를 회전합니다(현재 키 등록 취소 및 새 키 등록). 외부 키 관리 시스템의 키를 사용하려면 공개 키 ID와 개인 키 ID를 지정해야 합니다

  5. * 기본 키로 재설정 *

    획득 사용자 암호 및 획득 사용자 암호화 키를 기본값으로 재설정합니다. 기본값은 설치 중에 제공되는 값입니다.

  6. * truststore 암호 변경 *

    truststore의 암호를 변경합니다.

  7. * Keystore 암호 변경 *

    키 저장소의 암호를 변경합니다.

  8. * Collector 암호 암호화 *

    데이터 수집기 암호를 암호화합니다.

  9. * 종료 *

    SecurityAdmin 도구를 종료합니다.

구성할 옵션을 선택하고 화면의 지시를 따릅니다.

도구를 실행할 사용자 지정

보안을 중요시하는 통제된 환경에서 _cisys_group이 없지만 특정 사용자가 SecurityAdmin 도구를 실행하기를 원할 수 있습니다.

수동으로 AU 소프트웨어를 설치하고 액세스할 사용자/그룹을 지정하면 이 작업을 수행할 수 있습니다.

  • API를 사용하여 CI 설치 프로그램을 AU 시스템에 다운로드하고 압축을 풉니다.

    • 1회 인증 토큰이 필요합니다. API Swagger 설명서(_Admin > API Access _ 및 _API Documentation_link 선택)를 참조하여 _get/au/oneTimeToken_API 섹션을 찾습니다.

    • 토큰이 있으면 _get/au/installers/{platform}/{version}_API를 사용하여 설치 관리자 파일을 다운로드합니다. 설치 프로그램 버전과 함께 플랫폼(Linux 또는 Windows)을 제공해야 합니다.

  • 다운로드한 설치 관리자 파일을 AU 시스템에 복사하고 압축을 풉니다.

  • 파일이 포함된 폴더로 이동하고 설치 관리자를 루트로 실행하고 사용자 및 그룹을 지정합니다.

    ./cloudinsights-install.sh <User> <Group>

지정된 사용자 및/또는 그룹이 없으면 해당 사용자 및/또는 그룹이 생성됩니다. 사용자는 SecurityAdmin 도구에 액세스할 수 있습니다.

프록시를 업데이트 또는 제거하는 중입니다

SecurityAdmin 도구는 _ -pr_parameter로 도구를 실행하여 획득 장치에 대한 프록시 정보를 설정하거나 제거하는 데 사용할 수 있습니다.

[root@ci-eng-linau bin]# ./securityadmin -pr
usage: securityadmin -pr -ap <arg> | -h | -rp | -upr <arg>

The purpose of this tool is to enable reconfiguration of security aspects
of the Acquisition Unit such as encryption keys, and proxy configuration,
etc. For more information about this tool, please check the Data Infrastructure Insights
Documentation.

-ap,--add-proxy <arg>       add a proxy server.  Arguments: ip=ip
                             port=port user=user password=password
                             domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)
-h,--help
-rp,--remove-proxy          remove proxy server
-upr,--update-proxy <arg>   update a proxy.  Arguments: ip=ip port=port
                             user=user password=password domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)

예를 들어 프록시를 제거하려면 다음 명령을 실행합니다.

 [root@ci-eng-linau bin]# ./securityadmin -pr -rp
명령을 실행한 후 획득 장치를 다시 시작해야 합니다.

프록시를 업데이트하려면 명령은 입니다

./securityadmin -pr -upr <arg>

외부 키 검색

UNIX 셸 스크립트를 제공할 경우 획득 장치에서 이를 실행하여 키 관리 시스템에서 * 개인 키 * 및 * 공개 키 * 를 검색할 수 있습니다.

키를 검색하기 위해 Data Infrastructure Insights에서 스크립트를 실행하고 두 가지 매개 변수(key id_and_key type)를 전달합니다. _Key id_를 사용하여 키 관리 시스템의 키를 식별할 수 있습니다. _키 유형 _ 은(는) "public" 또는 "private"입니다. 키 유형이 "public"인 경우 스크립트는 공개 키를 반환해야 합니다. 키 유형이 "private"인 경우 개인 키를 반환해야 합니다.

키를 다시 획득 장치로 보내려면 스크립트는 키를 표준 출력으로 인쇄해야 합니다. 스크립트는 PRINT_ONLY_THE 키를 표준 출력으로 가져와야 합니다. 다른 텍스트는 표준 출력으로 인쇄해서는 안 됩니다. 요청된 키가 표준 출력으로 인쇄되면 스크립트는 종료 코드가 0인 상태에서 종료되어야 합니다. 다른 반환 코드는 오류로 간주됩니다.

이 스크립트는 획득 장치와 함께 스크립트를 실행하는 SecurityAdmin 도구를 사용하여 획득 장치에 등록해야 합니다. 스크립트에는 root 및 "cisys" 사용자에 대해 _READ_AND_EXECUTE_권한이 있어야 합니다. 등록 후 쉘 스크립트가 수정되면 수정된 쉘 스크립트를 획득 장치에 다시 등록해야 합니다.

입력 매개 변수: 키 ID

고객 키 관리 시스템에서 키를 식별하는 데 사용되는 키 식별자입니다.

입력 매개변수: 키 유형

퍼블릭 또는 프라이빗.

출력

요청된 키를 표준 출력으로 인쇄해야 합니다. 현재 2048비트 RSA 키가 지원됩니다. 키는 PEM, DER로 인코딩된 PKCS8 PrivateKeyInfo RFC 5958 공개 키 형식(PEM, DER로 인코딩된 X.509 SubjectPublicKeyInfo RFC 5280)으로 인코딩 및 인쇄되어야 합니다

종료 코드

종료 코드 0을(를) 성공했습니다. 다른 모든 종료 값은 실패로 간주됩니다.

스크립트 권한

스크립트에는 루트 및 "cisys" 사용자에 대한 읽기 및 실행 권한이 있어야 합니다.

로그

스크립트 실행이 기록됩니다. 로그는 - /var/log/NetApp/cloudinsights/SecurityAdmin/securityadmin.log /var/log/NetApp/cloudinsights/acq/acq.log 에서 확인할 수 있습니다

API에서 사용하기 위한 암호 암호화

옵션 8에서는 암호를 암호화하고 API를 통해 데이터 수집기로 전달할 수 있습니다.

대화형 모드에서 SecurityAdmin 도구를 시작하고 옵션 8:_Encrypt Password _ 를 선택합니다.

 securityadmin.sh -i
암호화할 암호를 입력하라는 메시지가 표시됩니다. 입력한 문자는 화면에 표시되지 않습니다. 메시지가 나타나면 암호를 다시 입력합니다.

또는 스크립트에서 명령을 사용할 경우 명령줄에서 "-enc" 매개 변수와 함께 _SecurityAdmin.sh_를 사용하여 암호화되지 않은 암호를 전달합니다.

 securityadmin -enc mypassword
image:SecurityAdmin_Encrypt_Key_API_CLI_Example.png["CLI 예"]

암호화된 암호가 화면에 표시됩니다. 선행 또는 후행 기호를 포함하여 전체 문자열을 복사합니다.

대화형 모드 암호화 암호, 너비 = 640

암호화된 암호를 데이터 수집기에 보내려면 데이터 수집 API를 사용할 수 있습니다. 이 API의 Swagger는 * Admin > API Access * 에서 확인할 수 있으며 "API Documentation" 링크를 클릭하십시오. "데이터 수집" API 유형을 선택합니다. data_collection.data_collector_heading 아래에서 이 예제에 대한 _/collector/datasources_POST API를 선택합니다.

데이터 수집을 위한 API입니다

_preEncrypted_option을 _True_로 설정하면 API 명령을 통해 전달하는 모든 암호는 * 이미 암호화된 * 로 처리되며 API는 암호를 다시 암호화하지 않습니다. API를 구축할 때 이전에 암호화된 암호를 적절한 위치에 붙여 넣기만 하면 됩니다.

API 예, width = 600