安全性
securityadmin工具
建议更改
PDF
Cloud Insights 提供了一些安全功能、使您的环境能够以增强的安全性运行。这些功能包括对加密、密码哈希以及更改内部用户密码以及用于加密和解密密码的密钥对的功能进行了改进。
为了保护敏感数据、NetApp建议您在安装或升级后更改默认密钥和_Acquisition _用户密码。
数据源加密密码存储在Cloud Insights 中、当用户在数据收集器配置页面中输入密码时、会使用公共密钥对密码进行加密。Cloud Insights 没有解密数据收集器密码所需的私钥;只有采集单元(A课)具有解密数据收集器密码所需的数据收集器私钥。
升级和安装注意事项
如果您的Insight系统包含非默认安全配置(即您已重新设置密码密钥)、则必须备份安全配置。安装新软件或在某些情况下升级软件会将系统还原为默认安全配置。当您的系统还原到默认配置时、您必须还原非默认配置、系统才能正常运行。
管理采集单元上的安全性
使用SecurityAdmin工具可以管理Cloud Insights 的安全选项、该工具可在采集单元系统上运行。安全管理包括管理密钥和密码、保存和还原您创建的安全配置或将配置还原为默认设置。
开始之前
-
要安装采集单元软件(包括SecurityAdmin工具)、您必须在AU系统上拥有管理员权限。
-
如果您的非管理员用户随后需要访问SecurityAdmin工具、则必须将其添加到_cisys_组中。_cisys_组是在AU安装期间创建的。
安装AU后、SecurityAdmin工具位于采集单元系统的以下任一位置:
Windows - C:\Program Files\SANscreen\securityadmin\bin\securityadmin.bat Linux - /bin/oci-securityadmin.sh
使用SecurityAdmin工具
以交互模式(-I)启动SecurityAdmin工具。
|
建议在交互模式下使用SecurityAdmin工具、以避免在命令行上传递可在日志中捕获的机密。 |
此时将显示以下选项:
-
* 备份 *
为包含所有密码和密钥的存储创建一个备份zip文件、并将该文件放置在用户指定的位置或以下默认位置:
Windows - C:\Program Files\SANscreen\backup\vault Linux - /var/log/netapp/oci/backup/vault
建议确保存储备份的安全、因为它们包含敏感信息。
-
* 还原 *
还原已创建的存储的zip备份。还原后、所有密码和密钥将还原为创建备份时的现有值。
还原可用于同步多个服务器上的密码和密钥、例如、使用以下步骤:1)更改AU上的加密密钥。2)创建存储的备份。3)将存储备份还原到每个AUP。
-
注册/更新外部密钥索引脚本
使用外部脚本注册或更改用于对设备密码进行加密或解密的AU加密密钥。
更改加密密钥时、您应备份新的安全配置、以便在升级或安装后还原它。
注意:此选项仅在Linux上可用。
在将您自己的密钥检索脚本与SecurityAdmin工具结合使用时、请记住以下几点:
-
当前支持的算法为RSA、最小值为2048位。
-
该脚本必须以纯文本格式返回私钥和公共密钥。该脚本不能返回加密的私钥和公共密钥。
-
该脚本应返回原始编码内容(仅限PEM格式)。
-
外部脚本必须具有_execute_权限。
-
-
旋转加密密钥
轮换加密密钥(取消注册当前密钥并注册新密钥)。要使用外部密钥管理系统中的密钥、必须指定公共密钥ID和专用密钥ID。
-
重置为默认密钥
将采集用户密码和采集用户加密密钥重置为默认值、默认值是在安装期间提供的值。
-
更改信任存储库密码
更改信任存储库的密码。
-
更改密钥库密码
更改密钥库的密码。
-
加密收集器密码
加密数据收集器密码。
-
* 退出 *
退出SecurityAdmin工具。
选择要配置的选项、然后按照提示进行操作。
指定要运行该工具的用户
如果您处于安全意识强的受控环境中、则可能没有_cisys_组、但可能仍希望特定用户运行SecurityAdmin工具。
为此、您可以手动安装AU软件并指定要访问的用户/组。
-
使用API将CI安装程序下载到AU系统并进行解压缩。
-
您需要一次性授权令牌。请参见API Swagger文档(_Admin > API Access_并选择_API Documentation_链接)、然后找到_get /au/oneTimeToken _ API部分。
-
获得令牌后、请使用_get /au/installers/{Platform}/{version}_ API下载安装程序文件。您需要提供平台(Linux或Windows)以及安装程序版本。
-
-
将下载的安装程序文件复制到AU系统并解压缩。
-
导航到包含这些文件的文件夹、然后以root用户身份运行安装程序、并指定用户和组:
./cloudinsights-install.sh <User> <Group>
如果指定的用户和/或组不存在、则会创建这些用户和/或组。用户将有权访问SecurityAdmin工具。
正在更新或删除代理
SecurityAdmin工具可用于设置或删除采集单元的代理信息、方法是运行具有—pr_参数的工具:
[root@ci-eng-linau bin]# ./securityadmin -pr
usage: securityadmin -pr -ap <arg> | -h | -rp | -upr <arg>
The purpose of this tool is to enable reconfiguration of security aspects
of the Acquisition Unit such as encryption keys, and proxy configuration,
etc. For more information about this tool, please check the Cloud Insights
Documentation.
-ap,--add-proxy <arg> add a proxy server. Arguments: ip=ip
port=port user=user password=password
domain=domain
(Note: Always use double quote(") or single
quote(') around user and password to escape
any special characters, e.g., <, >, ~, `, ^,
!
For example: user="test" password="t'!<@1"
Note: domain is required if the proxy auth
scheme is NTLM.)
-h,--help
-rp,--remove-proxy remove proxy server
-upr,--update-proxy <arg> update a proxy. Arguments: ip=ip port=port
user=user password=password domain=domain
(Note: Always use double quote(") or single
quote(') around user and password to escape
any special characters, e.g., <, >, ~, `, ^,
!
For example: user="test" password="t'!<@1"
Note: domain is required if the proxy auth
scheme is NTLM.)
例如、要删除代理、请运行以下命令:
[root@ci-eng-linau bin]# ./securityadmin -pr -rp 运行命令后、必须重新启动采集单元。
要更新代理、请使用命令
./securityadmin -pr -upr <arg>
外部密钥已在进行中
如果您提供了UNIX shell脚本、则采集单元可以执行该脚本、以便从密钥管理系统中检索*专用密钥*和*公共密钥*。
要检索密钥、Cloud Insights将执行该脚本、并传递两个参数:key id_和_key type。Key id_可用于标识密钥管理系统中的密钥。_Key type"公共"或"私有"。如果密钥类型为"public"、则脚本必须返回公共密钥。如果密钥类型为"prival"、则必须返回专用密钥。
要将密钥发送回采集单元、脚本必须将密钥打印到标准输出。该脚本必须打印_only标准输出的关键字;不能在标准输出中打印任何其他文本。将请求的密钥打印到标准输出后、脚本必须退出并显示退出代码0;任何其他返回代码均视为错误。
必须使用SecurityAdmin工具向采集单元注册该脚本、该工具将与采集单元一起执行该脚本。该脚本必须对root用户和"cisys"用户具有_read_和_execute_权限。如果在注册后修改了shell脚本、则必须将修改后的shell脚本重新注册到采集单元中。
输入参数:密钥ID |
用于在客户密钥管理系统中标识密钥的密钥标识符。 |
输入参数:密钥类型 |
公共或私有。 |
输出 |
必须将请求的密钥打印到标准输出中。目前支持2048位RSA密钥。密钥必须采用以下格式进行编码和打印- |
退出代码 |
退出代码为零表示成功。所有其他退出值均视为失败。 |
脚本权限 |
脚本必须对root用户和"cisys"用户具有读取和执行权限。 |
日志 |
记录脚本执行。日志位于- |
加密要在API中使用的密码
选项8允许您对密码进行加密、然后可以通过API将密码传递给数据收集器。
以交互模式启动SecurityAdmin工具,然后选择选项8:加密 密码。
securityadmin.sh -i 系统将提示您输入要加密的密码。请注意、您键入的字符不会显示在屏幕上。 出现提示时、重新输入密码。
或者、如果您要在脚本中使用命令、请在命令行上使用_s术admin.sh_和"-enc"参数、传递未加密的密码:
securityadmin -enc mypassword image:SecurityAdmin_Encrypt_Key_API_CLI_Example.png["CLI示例"]
加密密码将显示在屏幕上。复制整个字符串、包括任何前导或尾随符号。
要将加密密码发送到数据收集器、您可以使用数据收集API。此API的Swagger可在*Admin > API Access*中找到,然后单击"API Documentation"(API文档)链接。选择"数据收集"API类型。 在_data_cCollection。data_Collector标题下、为本示例选择__/Collector /datsources_ POST API。
如果将_prePed_选项设置为_True_、则通过API命令传递的任何密码都将被视为*已加密*;API不会重新加密此密码。构建API时、只需将先前加密的密码粘贴到相应位置即可。
