Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Métodos de administração do sistema

Colaboradores

Estes são parâmetros importantes para fortalecer a administração do sistema ONTAP.

Acesso à linha de comando

Estabelecer acesso seguro aos sistemas é uma parte essencial da manutenção de uma solução segura. As opções de acesso de linha de comando mais comuns são SSH, Telnet e RSH. Destes, o SSH é a melhor prática mais segura e padrão do setor para acesso remoto à linha de comando. A NetApp recomenda fortemente o uso de SSH para acesso de linha de comando à solução ONTAP.

Configurações SSH

O security ssh show comando mostra as configurações dos algoritmos de troca de chaves SSH, cifras e algoritmos MAC para o cluster e SVMs. O método de troca de chaves usa esses algoritmos e cifras para especificar como as chaves de sessão únicas são geradas para criptografia e autenticação e como a autenticação do servidor ocorre.

cluster1::> security ssh show

Vserver       Ciphers       Key Exchange Algorithms     MAC Algorithms
--------  ----------------  --------------------------  --------------
nsadhanacluster-2
                aes256-ctr,   diffie-helman-group-      hmac-sha2-256
                aes192-ctr,	   exchange-sha256,         hmac-sha2-512
                aes128-ctr    ecdh-sha2-nistp384
vs0             aes128-gcm    curve25519-sha256         hmac-sha1
vs1             aes256-ctr,   diffie-hellman-group-     hmac-sha1-96
                aes192-ctr,   exchange-sha256           hmac-sha2-256
                aes128-ctr,   ecdh-sha2-nistp384        hmac-sha2-256-
				3des-cbc,     ecdh-sha2-nistp512        etm
				aes128-gcm                              hmac-sha2-512
3 entries were displayed.

Banners de login

Os banners de login permitem que uma organização apresente quaisquer operadores, administradores e até mesmo errantes com termos e condições de uso aceitável, e eles indicam quem é permitido o acesso ao sistema. Esta abordagem é útil para estabelecer expetativa de acesso e uso do sistema. O security login banner modify comando modifica o banner de login. O banner de login é exibido imediatamente antes da etapa de autenticação durante o processo de login do dispositivo SSH e console. O texto do banner deve estar em aspas duplas (" "), como mostrado no exemplo a seguir.

cluster1::> security login banner modify -vserver cluster1 -message "Authorized users ONLY!"

Parâmetros de banner de login

Parâmetro Descrição

vserver

Use este parâmetro para especificar o SVM com o banner modificado. Use o nome do administrador do cluster SVM para modificar a mensagem no nível do cluster. A mensagem no nível do cluster é usada como padrão para SVMs de dados que não têm uma mensagem definida.

message

Este parâmetro opcional pode ser usado para especificar uma mensagem de banner de login. Se o cluster tiver um conjunto de mensagens de banner de login, o banner de login do cluster também será usado por todos os SVMs de dados. A configuração de um banner de login do SVM substitui a exibição do banner de login do cluster. Para redefinir um banner de login SVM de dados para usar o banner de login do cluster, use este parâmetro com o valor "-".

Se você usar esse parâmetro, o banner de login não poderá conter novas linhas (também conhecidas como extremidades de linhas [EOLS] ou quebras de linha). Para inserir uma mensagem de banner de login com novas linhas, não especifique nenhum parâmetro. Você é solicitado a inserir a mensagem interativamente. As mensagens inseridas interativamente podem conter novas linhas.

Carateres não ASCII devem usar Unicode UTF-8.

uri

`(ftp

http)://(hostname

IPv4`

Use este parâmetro para especificar o URI a partir do qual o banner de login é baixado.

A mensagem não deve exceder 2048 bytes de comprimento. Carateres não ASCII devem ser fornecidos como Unicode UTF-8.

Mensagem do dia

O security login motd modify comando atualiza a mensagem do dia (MOTD).

Existem duas categorias de MOTD: O MOTD em nível de cluster e os dados SVM-nível MOTD. Um usuário que faz login no clustershell de um SVM de dados pode ver duas mensagens: O MOTD de nível de cluster seguido pelo MOTD de nível SVM para esse SVM.

O administrador do cluster pode ativar ou desativar o MOTD no nível do cluster em cada SVM individualmente, se necessário. Se o administrador do cluster desativar o MOTD no nível do cluster para um SVM, um usuário que faz login no SVM não verá a mensagem no nível do cluster. Apenas um administrador de cluster pode ativar ou desativar a mensagem de nível de cluster.

Parâmetro MOTD Descrição

SVM

Use este parâmetro para especificar o SVM para o qual o MOTD é modificado. Use o nome do administrador do cluster SVM para modificar a mensagem no nível do cluster.

mensagem

Este parâmetro opcional pode ser usado para especificar uma mensagem. Se você usar este parâmetro, o MOTD não pode conter novas linhas. Se você não especificar nenhum parâmetro além do -vserver parâmetro, será solicitado que você insira a mensagem interativamente. As mensagens inseridas interativamente podem conter novas linhas. Carateres não ASCII devem ser fornecidos como Unicode UTF-8. A mensagem pode conter conteúdo gerado dinamicamente usando as seguintes sequências de escape:

  • \\ - Um único caráter de reação

  • \b - Sem saída (suportado apenas para compatibilidade com Linux)

  • \C - Nome do cluster

  • \d - Data atual como definido no nó de login

  • \t - Hora atual como definido no nó de login

  • \I - Endereço IP de LIF de entrada (imprime console para um console login)

  • \l - Nome do dispositivo de login (imprime console para um console login)

  • \L - Último login para o usuário em qualquer nó no cluster

  • \m - Arquitetura da máquina

  • \n - Nome do nó ou data SVM

  • \N - Nome do usuário que faz login

  • \o - O mesmo que o. Fornecido para compatibilidade com Linux.

  • \O - Nome de domínio DNS do nó. Observe que a saída depende da configuração da rede e pode estar vazia.

  • \r - Número de versão do software

  • \s - Nome do sistema operacional

  • \u - Número de sessões ativas de clustershell no nó local. Para o administrador do cluster: Todos os usuários do clustershell. Para os dados SVM admin: Apenas sessões ativas para esses dados SVM.

  • \U - Igual a \u, mas tem user ou users anexa

  • \v - String de versão de cluster eficaz

  • \W - Sessões ativas em todo o cluster para o usuário que faz (`who`login )

Para obter mais informações sobre como configurar a mensagem do dia no ONTAP, consulte "Documentação do ONTAP na mensagem do dia".

Tempo limite da sessão da CLI

O tempo limite padrão da sessão da CLI é de 30 minutos. O tempo limite é importante para evitar sessões obsoletas e piggybacking da sessão.

Use o system timeout show comando para exibir o tempo limite atual da sessão da CLI. Para definir o valor de tempo limite, use o system timeout modify -timeout <minutes> comando.

Acesso à Web com o Gerenciador do sistema NetApp ONTAP

Se um administrador do ONTAP preferir usar uma interface gráfica em vez da CLI para acessar e gerenciar um cluster, use o Gerenciador do sistema do NetApp ONTAP. Ele é incluído com o ONTAP como um serviço da Web, habilitado por padrão e acessível usando um navegador. Aponte o navegador para o nome do host se estiver usando DNS ou o endereço IPv4 ou IPv6 através `https://cluster-management-LIF`do .

Se o cluster usar um certificado digital autoassinado, o navegador pode exibir um aviso indicando que o certificado não é confiável. Você pode reconhecer o risco de continuar o acesso ou instalar um certificado digital assinado pela autoridade de certificação (CA) no cluster para autenticação do servidor.

A partir do ONTAP 9.3, a autenticação SAML (Security Assertion Markup Language) é uma opção para o Gerenciador de sistemas do ONTAP.

Autenticação SAML para o Gerenciador de sistemas do ONTAP

O SAML 2,0 é um padrão amplamente adotado do setor que permite que qualquer provedor de identidade (IDP) compatível com SAML de terceiros execute MFA usando mecanismos exclusivos para o IDP escolhido pela empresa e como fonte de logon único (SSO).

Há três funções definidas na especificação SAML: O principal, o IDP e o provedor de serviços. Na implementação do ONTAP, um dos principais é o administrador de cluster que obtém acesso ao ONTAP por meio do Gerenciador de sistemas do ONTAP ou do NetApp Active IQ Unified Manager. O IDP é um software IDP de terceiros. A partir do ONTAP 9.3, os Serviços Federados do Microsoft ative Directory (ADFS) e o IDP Shibboleth de código aberto são IDPs suportados. A partir do ONTAP 9.12,1, o Cisco DUO é um IDP suportado. O fornecedor de serviços é a funcionalidade SAML incorporada ao ONTAP usada pelo Gerenciador de sistemas do ONTAP ou pela aplicação Web do Active IQ Unified Manager.

Ao contrário do processo de configuração de dois fatores SSH, depois que a autenticação SAML é ativada, o ONTAP System Manager ou o ONTAP Service Processor Access requer que todos os administradores existentes se autentiquem através do IDP SAML. Não são necessárias alterações nas contas de utilizador do cluster. Quando a autenticação SAML está ativada, um novo método de autenticação de saml é adicionado aos usuários existentes com funções de administrador para http aplicativos e ontapi .

Depois que a autenticação SAML estiver ativada, novas contas adicionais que exigem acesso SAML IDP devem ser definidas no ONTAP com a função de administrador e o método de autenticação saml para http aplicativos e ontapi. Se a autenticação SAML estiver desativada em algum momento, essas novas contas exigirão que o password método de autenticação seja definido com a função de administrador http e ontapi os aplicativos e a adição console do aplicativo para autenticação ONTAP local ao Gerenciador do sistema do ONTAP.

Depois que o IDP SAML é ativado, o IDP executa a autenticação para o acesso do Gerenciador de sistema do ONTAP usando métodos disponíveis para o IDP, como LDAP (Lightweight Directory Access Protocol), AD (ative Directory), Kerberos, senha e assim por diante. Os métodos disponíveis são exclusivos do IDP. É importante que as contas configuradas no ONTAP tenham IDs de usuário mapeadas para os métodos de autenticação IDP.

Os IDPs que foram validados pelo NetApp são Microsoft ADFS, Cisco DUO e IDP de código aberto Shibboleth.

A partir do ONTAP 9.14,1, o Cisco DUO pode ser usado como um segundo fator de autenticação para SSH.

Para obter mais informações sobre o MFA para Gerenciador de sistemas ONTAP, Active IQ Unified Manager e SSH, "TR-4647: Autenticação multifator no ONTAP 9"consulte .

Insights do Gerenciador de sistemas da ONTAP

A partir do ONTAP 9.11,1, o Gerenciador de sistemas do ONTAP fornece insights para ajudar os administradores de cluster a otimizar suas tarefas diárias. Os insights de segurança são baseados nas recomendações deste relatório técnico.

Insight de segurança Determinação

O Telnet está ativado

A NetApp recomenda o Shell seguro (SSH) para acesso remoto seguro.

O Remote Shell (RSH) está ativado

O NetApp recomenda SSH para acesso remoto seguro.

O AutoSupport está usando um protocolo inseguro

O AutoSupport não está configurado para ser enviado por link:HTTPS.

O banner de login não está configurado no cluster ao nível do cluster

Aviso se o banner de login não estiver configurado para o cluster.

O SSH está usando cifras inseguras

Aviso se o SSH usa cifras inseguras.

Poucos servidores NTP estão configurados

Aviso se o número de servidores NTP configurados for inferior a três.

Usuário de administrador padrão não bloqueado

Quando não estiver usando nenhuma conta administrativa padrão (admin ou diag) para fazer login no System Manager e essas contas não estiverem bloqueadas, a recomendação é bloqueá-las.

Defesa contra ransomware - os volumes não têm políticas Snapshot

Nenhuma política de snapshot adequada é anexada a um ou mais volumes.

Defesa de ransomware - desative a exclusão automática do Snapshot

A eliminação automática de instantâneos está definida para um ou mais volumes.

Os volumes não estão sendo monitorados para ataques de ransomware

A proteção autônoma contra ransomware é suportada em vários volumes, mas ainda não está configurada.

Os SVMs não são configurados para proteção autônoma contra ransomware

A proteção autônoma contra ransomware é suportada em vários SVMs, mas ainda não está configurada.

FPolicy nativo não está configurado

O FPolicy não está definido para SVMs nas.

Ative o modo ativo de proteção autônoma contra ransomware

Vários volumes concluíram o modo de aprendizagem e você pode ativar o modo ativo

A conformidade com o FIPS 140-2 global está desativada

A conformidade com o FIPS 140-2 global não está ativada.

O cluster não está configurado para notificações

E-mails, webhooks ou traphosts SNMP não estão configurados para receber notificações.

Para obter mais informações sobre os insights do Gerenciador de sistemas do ONTAP, consulte "Documentação do ONTAP System Manager Insights".