Ferramenta SecurityAdmin
Sugerir alterações
PDFs
O Data Infrastructure Insights inclui recursos de segurança que permitem que seu ambiente opere com segurança aprimorada. Os recursos incluem melhorias na criptografia, hash de senha e a capacidade de alterar senhas de usuários internos, bem como pares de chaves que criptografam e descriptografam senhas.
Para proteger dados confidenciais, a NetApp recomenda que você altere as chaves padrão e a senha do usuário Acquisition após uma instalação ou atualização.
As senhas criptografadas da fonte de dados são armazenadas no Data Infrastructure Insights, que usa uma chave pública para criptografar senhas quando um usuário as insere em uma página de configuração do coletor de dados. O Data Infrastructure Insights não tem as chaves privadas necessárias para descriptografar as senhas do coletor de dados; somente as Unidades de Aquisição (AUs) têm a chave privada do coletor de dados necessária para descriptografar as senhas do coletor de dados.
Considerações sobre atualização e instalação
Quando o seu sistema Insight contém configurações de segurança não padrão (ou seja, você redigitou senhas), você deve fazer backup de suas configurações de segurança. A instalação de um novo software ou, em alguns casos, a atualização de um software reverte o sistema para uma configuração de segurança padrão. Quando o sistema retorna à configuração padrão, você deve restaurar a configuração não padrão para que o sistema funcione corretamente.
Gerenciando a segurança na unidade de aquisição
A ferramenta SecurityAdmin permite que você gerencie as opções de segurança do Data Infrastructure Insights e é executada no sistema da unidade de aquisição. O gerenciamento de segurança inclui gerenciar chaves e senhas, salvar e restaurar configurações de segurança criadas por você ou restaurar configurações para as configurações padrão.
Antes de começar
-
Você deve ter privilégios de administrador no sistema AU para instalar o software da Unidade de Aquisição (que inclui a ferramenta SecurityAdmin).
-
Se você tiver usuários não administradores que posteriormente precisarão acessar a ferramenta SecurityAdmin, eles deverão ser adicionados ao grupo cisys. O grupo cisys é criado durante a instalação do AU.
Após a instalação do AU, a ferramenta SecurityAdmin pode ser encontrada no sistema da unidade de aquisição em qualquer um destes locais:
Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\bin\securityadmin.bat Linux - /bin/oci-securityadmin.sh
Usando a ferramenta SecurityAdmin
Inicie a ferramenta SecurityAdmin no modo interativo (-i).
|
É recomendável usar a ferramenta SecurityAdmin no modo interativo, para evitar passar segredos na linha de comando, que podem ser capturados em logs. |
As seguintes opções são exibidas:
-
Backup
Cria um arquivo zip de backup do cofre contendo todas as senhas e chaves e coloca o arquivo em um local especificado pelo usuário ou nos seguintes locais padrão:
Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\backup\vault Linux - /var/log/netapp/oci/backup/vault
É recomendável que os backups do cofre sejam mantidos seguros, pois incluem informações confidenciais.
-
Restaurar
Restaura o backup zip do cofre que foi criado. Uma vez restauradas, todas as senhas e chaves serão revertidas para os valores existentes no momento da criação do backup.
A restauração pode ser usada para sincronizar senhas e chaves em vários servidores, por exemplo, seguindo estas etapas: 1) Alterar chaves de criptografia na AU. 2) Crie um backup do cofre. 3) Restaure o backup do cofre para cada uma das AUs.
-
Registrar/Atualizar Script de Recuperação de Chave Externa
Use um script externo para registrar ou alterar as chaves de criptografia AU usadas para criptografar ou descriptografar senhas de dispositivos.
Ao alterar as chaves de criptografia, você deve fazer backup da sua nova configuração de segurança para poder restaurá-la após uma atualização ou instalação.
Observe que esta opção só está disponível no Linux.
Ao usar seu próprio script de recuperação de chave com a ferramenta SecurityAdmin, tenha em mente o seguinte:
-
O algoritmo suportado atualmente é RSA com no mínimo 2048 bits.
-
O script deve retornar as chaves privada e pública em texto simples. O script não deve retornar chaves públicas e privadas criptografadas.
-
O script deve retornar conteúdo bruto e codificado (somente formato PEM).
-
O script externo deve ter permissões execute.
-
-
Girar chaves de criptografia
Gire suas chaves de criptografia (cancela o registro das chaves atuais e registra novas chaves). Para usar uma chave de um sistema de gerenciamento de chaves externo, você deve especificar o ID da chave pública e o ID da chave privada.
-
Redefinir para as teclas padrão
Redefine a senha do usuário de aquisição e as chaves de criptografia do usuário de aquisição para os valores padrão. Os valores padrão são aqueles fornecidos durante a instalação.
-
Alterar senha do Truststore
Alterar a senha do truststore.
-
Alterar senha do Keystore
Alterar a senha do keystore.
-
Criptografar senha do coletor
Criptografar senha do coletor de dados.
-
Saída
Saia da ferramenta SecurityAdmin.
Escolha a opção que deseja configurar e siga as instruções.
Especificando um usuário para executar a ferramenta
Se você estiver em um ambiente controlado e preocupado com a segurança, talvez não tenha o grupo cisys, mas ainda assim poderá querer que usuários específicos executem a ferramenta SecurityAdmin.
Você pode fazer isso instalando manualmente o software AU e especificando o usuário/grupo ao qual deseja acesso.
-
Usando a API, baixe o instalador do CI para o sistema AU e descompacte-o.
-
Você precisará de um token de autorização único. Consulte a documentação do API Swagger (Admin > API Access e selecione o link API Documentation) e encontre a seção GET /au/oneTimeToken da API.
-
Depois de obter o token, use a API GET /au/installers/{platform}/{version} para baixar o arquivo do instalador. Você precisará fornecer a plataforma (Linux ou Windows), bem como a versão do instalador.
-
-
Copie o arquivo do instalador baixado para o sistema AU e descompacte-o.
-
Navegue até a pasta que contém os arquivos e execute o instalador como root, especificando o usuário e o grupo:
./cloudinsights-install.sh <User> <Group>
Se o usuário e/ou grupo especificado não existir, eles serão criados. O usuário terá acesso à ferramenta SecurityAdmin.
Atualizando ou removendo proxy
A ferramenta SecurityAdmin pode ser usada para definir ou remover informações de proxy para a Unidade de Aquisição executando a ferramenta com o parâmetro -pr:
[root@ci-eng-linau bin]# ./securityadmin -pr
usage: securityadmin -pr -ap <arg> | -h | -rp | -upr <arg>
The purpose of this tool is to enable reconfiguration of security aspects
of the Acquisition Unit such as encryption keys, and proxy configuration,
etc. For more information about this tool, please check the Data Infrastructure Insights
Documentation.
-ap,--add-proxy <arg> add a proxy server. Arguments: ip=ip
port=port user=user password=password
domain=domain
(Note: Always use double quote(") or single
quote(') around user and password to escape
any special characters, e.g., <, >, ~, `, ^,
!
For example: user="test" password="t'!<@1"
Note: domain is required if the proxy auth
scheme is NTLM.)
-h,--help
-rp,--remove-proxy remove proxy server
-upr,--update-proxy <arg> update a proxy. Arguments: ip=ip port=port
user=user password=password domain=domain
(Note: Always use double quote(") or single
quote(') around user and password to escape
any special characters, e.g., <, >, ~, `, ^,
!
For example: user="test" password="t'!<@1"
Note: domain is required if the proxy auth
scheme is NTLM.)
Por exemplo, para remover o proxy, execute este comando:
[root@ci-eng-linau bin]# ./securityadmin -pr -rp Você deve reiniciar a Unidade de Aquisição após executar o comando.
Para atualizar um proxy, o comando é
./securityadmin -pr -upr <arg>
Recuperação de Chave Externa
Se você fornecer um script de shell UNIX, ele poderá ser executado pela unidade de aquisição para recuperar a chave privada e a chave pública do seu sistema de gerenciamento de chaves.
Para recuperar a chave, o Data Infrastructure Insights executará o script, passando dois parâmetros: key id e key type. ID da chave pode ser usado para identificar a chave no seu sistema de gerenciamento de chaves. O Tipo de chave é "público" ou "privado". Quando o tipo de chave é "pública", o script deve retornar a chave pública. Quando o tipo de chave é "privada", a chave privada deve ser retornada.
Para enviar a chave de volta para a unidade de aquisição, o script deve imprimir a chave na saída padrão. O script deve imprimir apenas a chave na saída padrão; nenhum outro texto deve ser impresso na saída padrão. Depois que a chave solicitada for impressa na saída padrão, o script deverá sair com um código de saída 0; qualquer outro código de retorno será considerado um erro.
O script deve ser registrado na unidade de aquisição usando a ferramenta SecurityAdmin, que executará o script junto com a unidade de aquisição. O script deve ter permissão de leitura e execução para o usuário root e "cisys". Se o script de shell for modificado após o registro, o script de shell modificado deverá ser registrado novamente na unidade de aquisição.
parâmetro de entrada: id da chave |
Identificador de chave usado para identificar a chave no sistema de gerenciamento de chaves do cliente. |
parâmetro de entrada: tipo de chave |
público ou privado. |
saída |
A chave solicitada deve ser impressa na saída padrão. A chave RSA de 2048 bits é suportada atualmente. As chaves devem ser codificadas e impressas no seguinte formato: formato de chave privada - PEM, codificado em DER PKCS8 PrivateKeyInfo RFC 5958 formato de chave pública - PEM, codificado em DER X.509 SubjectPublicKeyInfo RFC 5280 |
código de saída |
Código de saída zero para sucesso. Todos os outros valores de saída são considerados falha. |
permissões de script |
O script deve ter permissão de leitura e execução para o usuário root e "cisys". |
toras |
As execuções de script são registradas. Os logs podem ser encontrados em - /var/log/netapp/cloudinsights/securityadmin/securityadmin.log /var/log/netapp/cloudinsights/acq/acq.log |
Criptografando uma senha para uso na API
A opção 8 permite que você criptografe uma senha, que pode então ser passada para um coletor de dados via API.
Inicie a ferramenta SecurityAdmin no modo interativo e selecione a opção 8: Criptografar senha.
securityadmin.sh -i Você será solicitado a digitar a senha que deseja criptografar. Observe que os caracteres digitados não são exibidos na tela. Digite a senha novamente quando solicitado.
Como alternativa, se você for usar o comando em um script, em uma linha de comando use securityadmin.sh com o parâmetro "-enc", passando sua senha não criptografada:
securityadmin -enc mypassword image:SecurityAdmin_Encrypt_Key_API_CLI_Example.png["Exemplo de CLI"]
A senha criptografada é exibida na tela. Copie a sequência inteira, incluindo quaisquer símbolos iniciais ou finais.
Para enviar a senha criptografada para um coletor de dados, você pode usar a API de coleta de dados. O swagger para esta API pode ser encontrado em Admin > Acesso à API e clique no link "Documentação da API". Selecione o tipo de API "Coleta de dados". No título data_collection.data_collector, escolha a API POST /collector/datasources para este exemplo.
Se você definir a opção preEncrypted como True, qualquer senha que você passar pelo comando da API será tratada como já criptografada; a API não criptografará novamente a(s) senha(s). Ao criar sua API, basta colar a senha criptografada anteriormente no local apropriado.
