Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

系统管理方法

贡献者
PDF

这些参数是加强ONTAP系统管理的重要参数。

命令行访问

建立对系统的安全访问是维护安全解决方案的关键部分。最常见的命令行访问选项包括SSH、Telnet和RSH。其中、SSH是远程命令行访问最安全的行业标准最佳实践。NetApp强烈建议使用SSH通过命令行访问ONTAP解决方案。

SSH配置

命令可 security ssh show 显示集群和SVM的SSH密钥交换算法、密码和MAC算法配置。密钥交换方法使用这些算法和密码来指定如何为加密和身份验证生成一次性会话密钥以及如何进行服务器身份验证。

cluster1::> security ssh show

Vserver       Ciphers       Key Exchange Algorithms     MAC Algorithms
--------  ----------------  --------------------------  --------------
nsadhanacluster-2
                aes256-ctr,   diffie-helman-group-      hmac-sha2-256
                aes192-ctr,	   exchange-sha256,         hmac-sha2-512
                aes128-ctr    ecdh-sha2-nistp384
vs0             aes128-gcm    curve25519-sha256         hmac-sha1
vs1             aes256-ctr,   diffie-hellman-group-     hmac-sha1-96
                aes192-ctr,   exchange-sha256           hmac-sha2-256
                aes128-ctr,   ecdh-sha2-nistp384        hmac-sha2-256-
				3des-cbc,     ecdh-sha2-nistp512        etm
				aes128-gcm                              hmac-sha2-512
3 entries were displayed.

登录横幅

通过登录横幅、组织可以向任何操作员、管理员甚至入侵者提供可接受使用的条款和条件、并指明允许谁访问系统。这种方法有助于建立对系统访问和使用的预期。命令用于 security login banner modify 修改登录横幅。在SSH和控制台设备登录过程中、登录横幅显示在身份验证步骤的前面。横幅文本必须使用双引号(“”),如以下示例所示。

cluster1::> security login banner modify -vserver cluster1 -message “Authorized users ONLY!”

登录横幅参数

参数 Description

vserver

使用此参数指定带有已修改横幅的SVM。使用集群管理SVM的名称修改集群级别的消息。集群级别的消息用作未定义消息的数据SVM的默认消息。

message

此可选参数可用于指定登录横幅消息。如果集群设置了登录横幅消息、则所有数据SVM也会使用集群登录横幅。设置数据SVM的登录横幅将覆盖集群登录横幅的显示。要将数据SVM登录横幅重置为使用集群登录横幅、请将此参数与值"-"结合使用。

如果使用此参数、则登录横幅不能包含换行符(也称为行尾[EOLS]或换行符)。要输入包含换行符的登录横幅消息、请勿指定任何参数。系统将提示您以交互方式输入消息。以交互方式输入的消息可以包含换行符。

非ASCII字符必须使用Unicode UTF-8。

uri

`(ftp

http)://(hostname

IPv4`

使用此参数指定从中下载登录横幅的URI。

消息长度不得超过2048字节。非ASCII字符必须以Unicode UTF-8格式提供。

每日消息

`security login motd modify`命令用于更新每日消息(Message of the Day、MOTD)。

MOTD分为两类:集群级别的MOTD和数据SVM级别的MOTD。登录到数据SVM的集群Shell的用户可能会看到两条消息:集群级别的MOTD、后跟该SVM的SVM级别的MOTD。

如果需要、集群管理员可以在每个SVM上单独启用或禁用集群级别的MOTD。如果集群管理员为SVM禁用了集群级别的MOTD、则登录到此SVM的用户不会看到集群级别的消息。只有集群管理员才能启用或禁用集群级别的消息。

MOTD参数 Description

Vserver

使用此参数指定要修改其MOTD的SVM。使用集群管理SVM的名称修改集群级别的消息。

message

此可选参数可用于指定消息。如果使用此参数、则MOTD不能包含换行符。如果未指定除参数以外的任何参数 -vserver 、系统将提示您以交互方式输入消息。以交互方式输入的消息可以包含换行符。非ASCII字符必须以Unicode UTF-8格式提供。消息可以包含使用以下转义序列动态生成的内容:

  • \\ -单个反冲字符

  • \b -无输出(仅支持与Linux兼容)

  • \C -集群名称

  • \d -在登录节点上设置的当前日期

  • \t -在登录节点上设置的当前时间

  • \I -传入LIF IP地址(输出控制台以进行 console 登录)

  • \l -登录设备名称(打印登录控制台 console )

  • \L -用户在集群中任何节点上的上次登录

  • \m -机器架构

  • \n -节点或数据SVM名称

  • \N -登录用户的名称

  • \o -与\O相同用于实现Linux兼容性。

  • \O -节点的DNS域名。请注意、输出取决于网络配置、可能为空。

  • \r -软件版本号

  • \s -操作系统名称

  • \u 本地节点上活动的集群Shell会话数。对于集群管理员:所有clustershell用户。对于数据SVM管理员:仅限该数据SVM的活动会话。

  • \U -与相同 \u,但已 user 附加或 users 附加

  • \v -有效的集群版本字符串

  • \W -登录用户在集群中的活动会话 (who)

有关在ONTAP中配置每日消息的详细信息,请参见 "有关每日消息的ONTAP文档"

命令行界面会话超时

默认命令行界面会话超时为30分钟。超时对于防止陈旧会话和会话备份非常重要。

使用 system timeout show 命令查看当前命令行界面会话超时。要设置超时值、请使用 system timeout modify -timeout <minutes> 命令。

使用NetApp ONTAP系统管理器进行Web访问

如果ONTAP管理员更喜欢使用图形界面而不是命令行界面来访问和管理集群、请使用NetApp ONTAP系统管理器。它作为Web服务随ONTAP附带、默认情况下处于启用状态、并可通过浏览器进行访问。如果使用的是DNS或IPv4或IPv6地址,请通过将浏览器指向主机名 https://cluster-management-LIF

如果集群使用自签名数字证书,浏览器可能会显示一条警告,指示此证书不可信。您可以确认风险以继续访问、也可以在集群上安装证书颁发机构(CA)签名的数字证书以进行服务器身份验证。

从ONTAP 9.3开始、ONTAP系统管理器可以选择使用安全断言标记语言(SAML)身份验证。

ONTAP系统管理器的SAML身份验证

SAML 2.0是一种广泛采用的行业标准、它允许任何符合SAML的第三方身份提供程序(Identity Provider、Idp)使用企业所选Idp独有的机制执行MFA、并将其作为单点登录(Single Sign On、SSO)的源。

SAML规范中定义了三个角色:主体、Idp和服务提供商。在ONTAP实施中、主体是通过ONTAP系统管理器或NetApp Active IQ Unified Manager访问ONTAP的集群管理员。Idp是第三方Idp软件。从ONTAP 9.3开始、支持Microsoft Active Directory联合服务(ADFS)和开源Shbboleth Idp。从ONTAP 9.12.1开始、Cisco双核是受支持的Idp。服务提供商是内置在ONTAP中的SAML功能、可供ONTAP系统管理器或Active IQ Unified Manager Web应用程序使用。

与SSH双因素配置过程不同、在激活SAML身份验证后、ONTAP系统管理器或ONTAP服务处理器访问要求所有现有管理员通过SAML Idp进行身份验证。不需要更改集群用户帐户。启用SAML身份验证后、将向具有和应用程序管理员角色的现有用户添加新的身份验证方法 saml http ontapi

启用SAML身份验证后、应在ONTAP中使用管理员角色以及和应用程序的SAML身份验证方法定义需要SAML Idp访问的其他新帐户 http ontapi 。如果在某个时刻禁用了SAML身份验证、则这些新帐户需要 password 使用和应用程序的管理员角色定义身份验证方法 http ontapi 、并将用于本地ONTAP身份验证的控制台应用程序添加到ONTAP系统管理器中。

启用SAML IdP后、IdP将使用IdP可用的方法(例如轻型目录访问协议(Lightweight-Directory Access Protocol、LDAP)、Active Directory (AD)、Kerberos、密码等)执行ONTAP System Manager访问身份验证。可用方法对于Idp是唯一的。请务必确保在ONTAP中配置的帐户具有映射到Idp身份验证方法的用户ID。

已通过NetApp验证的IdPs包括Microsoft ADFS、Cisco Duo和开源Shbboleth IdP.

从ONTAP 9.14.1开始、Cisco Duo可用作SSH的第二个身份验证因素。

有关适用于ONTAP系统管理器、Active IQ Unified Manager和SSH的MFA的详细信息,请参见 "TR-4647:《ONTAP 9中的多因素身份验证》"

ONTAP System Manager洞察力

从ONTAP 9.11.1开始、ONTAP系统管理器可提供深入见解、帮助集群管理员简化日常任务。这些安全洞察基于本技术报告中的建议。

Security Insight 决心

已启用Telnet

NetApp 建议使用安全 Shell ( SSH )进行安全远程访问。

已启用远程Shell (RSH)

NetApp建议使用SSH进行安全远程访问。

AutoSupport正在使用不安全协议

AutoSupport未配置为通过链路:HTTPS发送。

集群级别未配置登录横幅

如果未为集群配置登录横幅、则显示警告。

SSH 正在使用不安全密码

如果SSH使用不安全的用户身份验证、则显示警告。

配置的NTP服务器太少

如果配置的NTP服务器数量小于3、则显示警告。

默认管理员用户未锁定

如果不使用任何默认管理帐户(admin或diag)登录到System Manager、并且这些帐户未锁定、则建议将其锁定。

勒索软件防护—卷没有Snapshot策略

一个或多个卷未附加足够的Snapshot策略。

勒索软件防护—禁用Snapshot自动删除

已为一个或多个卷设置Snapshot自动删除。

不会监控卷的勒索软件攻击

多个卷支持自主勒索软件保护、但尚未进行配置。

没有为SVM配置自主勒索软件保护

多个SVM支持自主勒索软件保护、但尚未配置。

未配置本机FPolicy

未为NAS SVM设置FPolicy。

启用自主勒索软件保护活动模式

多个卷已完成其学习模式、您可以打开活动模式

已禁用全局FIPS 140-2合规性

未启用全局FIPS 140-2合规性。

没有为集群配置通知

电子邮件、webhook或SNMP陷阱主机未配置为接收通知。

有关ONTAP System Manager洞察的详细信息,请参见 "ONTAP System Manager洞察力文档"