所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.0 安全管理指南 09

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
其他

其他

更新KMC根秘钥

KMC根秘钥文件为出厂时设定的默认秘钥文件。出于安全考虑,建议用户更新根秘钥文件。

前提条件
  • 已获取CSBS和VMware Workflow微服务所在服务器的IP地址、帐户和密码。
  • 已准备跨平台远程访问工具,如PuTTY。
  • 已准备跨平台文件传输工具,如WinSCP。
背景信息

该章节将介绍更新CSBS和VMware Workflow微服务的根秘钥文件的方法。

操作步骤

更新CSBS Workflow微服务的根秘钥文件

  1. 使用PuTTY,登录CSBS微服务所在的服务器。

    默认帐户:hcp,默认密码:PXU9@ctuNov17!

  2. 执行以下命令,输入root帐户密码,切换至root帐户。

    root帐号的默认密码为Cloud12#$

    su root

  3. 执行以下命令,防止PuTTY超时退出。

    TMOUT=0
    说明:

    执行该命令后,当前系统在无操作时会保持运行状态,存在安全风险,为了确保系统安全,请在完成相应操作后,执行exit退出当前系统。

  4. 在Manager角色上,执行以下命令停止eBackup服务。

    service hcp stop

  5. 在Manager角色上,执行以下命令进入CSBS workflow微服务目录。

    cd /opt/huawei-data-protection/ebackup/microservice/ebk_openstack_vm_V200R001C30xx_x.x.x/bin

  6. 在Manager角色上,执行以下命令,导入环境变量。

    source ../script/ebackup_env.sh

  7. 在Manager角色上,执行以下命令更新根秘钥文件。

    ./SecurityTool -progName ebk_openstack_vm -exec update-root-key

    回显信息如下:

    Succeeded in updating the root key.

  8. 在Manager角色上,执行以下命令进入CSBS workflow微服务的根秘钥文件存储目录。

    cd /opt/huawei-data-protection/ebackup/microservice/ebk_openstack_vm_V200R001C30xx_x.x.x/conf/kmc/

  9. 在其他Workflow节点上,执行以下命令停止eBackup服务。

    service hcp stop

  10. 使用文件传输工具,如WinSCP,将“ebk_openstack_vmBakKeyStore.txt”、“ebk_openstack_vmKMCBakConfig.txt”、“ebk_openstack_vmKMCConfig.txt”和“ebk_openstack_vmKeyStore.txt”文件上传至其他eBackup Workflow Server节点中的“eBackup/opt/huawei-data-protection/ebackup/microservice/ebk_openstack_vm_V200R001C30xx_1.0.0/conf/kmc/”目录下。

    说明:

    请在本地保留“ebk_openstack_vmBakKeyStore.txt”、“ebk_openstack_vmKMCBakConfig.txt”、“ebk_openstack_vmKMCConfig.txt”和“ebk_openstack_vmKeyStore.txt”文件。如果发生灾难,请在灾难恢复后将四个文件拷贝至Manager和Workflow角色的所有节点中。如果不保留,将会导致灾难恢复后的整机备份相关业务不可用。

  11. 在Manager和Workflow角色上,执行以下命令重新启动eBackup服务。

    service hcp start

更新VMware Workflow微服务的根秘钥文件

  1. 使用PuTTY,登录VMware微服务所在的服务器。

    默认帐户:hcp,默认密码:PXU9@ctuNov17!

  2. 执行以下命令,输入root帐户密码,切换至root帐户。

    root帐号的默认密码为Cloud12#$

    su root

  3. 执行以下命令,防止PuTTY超时退出。

    TMOUT=0
    说明:

    执行该命令后,当前系统在无操作时会保持运行状态,存在安全风险,为了确保系统安全,请在完成相应操作后,执行exit退出当前系统。

  4. 在Manager角色上,执行以下命令停止eBackup服务。

    service hcp stop

  5. 在Manager角色上,执行以下命令,进入VMware workflow微服务目录。

    cd /opt/huawei-data-protection/ebackup/microservice/ebk_openstack_vmware_V200R001C30xx_x.x.x/bin

  6. 在Manager角色上,执行以下命令,导入环境变量。

    source ../script/ebackup_env.sh

  7. 在Manager角色上,执行以下命令更新根秘钥文件。

    ./SecurityTool -progName ebk_openstack_vmware -exec update-root-key

    回显信息如下:

    Succeeded in updating the root key.

  8. 在Manager角色上,执行以下命令进入VMware workflow微服务的根秘钥文件存储目录。

    cd /opt/huawei-data-protection/ebackup/microservice/ebk_openstack_vmware_V200R001C30xx_x.x.x/conf/kmc/

  9. 在其他Workflow节点上,执行以下命令停止eBackup服务。

    service hcp stop

  10. 使用文件传输工具,如“WinSCP”,将“ebk_openstack_vmwareBakKeyStore.txt”、“ebk_openstack_vmwareKMCBakConfig.txt”、“ebk_openstack_vmwareKMCConfig.txt”和“ebk_openstack_vmwareKeyStore.txt”文件上传至其他Workflow节点中的“eBackup/opt/huawei-data-protection/ebackup/microservice/ebk_openstack_vmware_V200R001C30xx_x.x.x/conf/kmc/”目录下。

    说明:

    请在本地保留“ebk_openstack_vmwareBakKeyStore.txt”、“ebk_openstack_vmwareKMCBakConfig.txt”、“ebk_openstack_vmwareKMCConfig.txt”和“ebk_openstack_vmwareKeyStore.txt”文件。如果发生灾难,请在灾难恢复后将四个文件拷贝至Manager和Workflow角色的所有节点中。如果不保留,将会导致灾难恢复后的整机备份相关业务不可用。

  11. 在Manager和Workflow角色上,执行以下命令重新启动eBackup服务。

    service hcp start

开启存储设备CRC验证

在存储设备支持CRC校验的情况下,为了保证存储设备数据传输的完整性,请参考本章节开启存储设备CRC验证。

前提条件
  • 已获取存储设备的IP地址、“root”帐号的密码。
  • 已获取跨平台远程访问工具和跨平台文件传输工具。
  • 已在eBackup服务器上安装iSCSI启动器。
  • 已完成存储设备的配置。
操作步骤
  1. 使用PuTTY,登录到eBackup服务器已与存储设备建立连接的节点。

    默认帐户:hcp,默认密码:PXU9@ctuNov17!

  2. 执行su root命令,输入root帐号密码,切换至root帐号。

    root帐号的默认密码为Cloud12#$

  3. 执行TMOUT=0命令,防止系统超时退出。

    说明:

    执行该命令后,当前系统在无操作时会保持运行状态,存在安全风险,为了确保系统安全,请在完成相应操作后,执行exit退出当前系统。

  4. 执行iscsiadm -m node -p ip,查询已经登录的目标服务器。

    其中,ip为配置的存储设备目标服务器的IP地址。

    示例:iscsiadm -m node -p 192.168.30.60

    回显如下信息:

    # BEGIN RECORD 2.0-873.suse 
    node .name = iqn.2006-08.com.huawei:oceanstor:21009c37f48af39a::20002:192.168.30.60
    存储设备目标服务器的IP地址查询方法:
    1. 以存储设备的管理平面IP地址,登录存储设备管理界面。
    2. 在导航栏上选择“资源分配 > 端口”。
    3. 单击“以太网端口”。

      其中,“IPv4地址/掩码”中的IP地址即为存储设备目标服务器的IP地址。

  1. 执行以下命令,开启CRC校验。

    • SUSE操作系统:

      iscsiadm -m node -T 存储设备的iqn --op update -n node.conn[0].iscsi.HeaderDigest -v CRC32C

      iscsiadm -m node -T 存储设备的iqn --op update -n node.conn[0].iscsi.DataDigest -v CRC32C

      示例:

      iscsiadm -m node -T iqn.2006-08.com.huawei:oceanstor:21009c37f48af39a::20002:192.168.30.60 --op update -n node.conn[0].iscsi.HeaderDigest -v CRC32C

      iscsiadm -m node -T iqn.2006-08.com.huawei:oceanstor:21009c37f48af39a::20002:192.168.30.60 --op update -n node.conn[0].iscsi.DataDigest -v CRC32C

    • Euler操作系统:

      iscsiadm -m node -T 存储设备的iqn --op update -n node.conn[0].iscsi.HeaderDigest -v CRC32C

      示例:

      iscsiadm -m node -T iqn.2006-08.com.huawei:oceanstor:21009c37f48af39a::20002:192.168.30.60 --op update -n node.conn[0].iscsi.HeaderDigest -v CRC32C

    其中:iqn.2006-08.com.huawei:oceanstor:21009c37f48af39a::20002:192.168.30.60为存储设备的iqn。

    说明:

    Euler操作系统使用的open-iscsi软件目前不支持DataDigest校验,不需要配置。

  2. 执行service open-iscsi restart命令,重启iSCSI服务使配置生效。

启用操作日志上报的安全协议

在syslog服务器支持安全通道的情况下,可参考本章节进行配置,以便启用安全连接。

前提条件
  • 确保eBackup系统和Syslog服务器网络连通。
  • 已准备跨平台远程访问工具,如“PuTTY”。
  • 已准备跨平台文件传输工具,如“WinSCP”。
背景信息
  • 当前SUSE操作系统(SUSE Linux Enterprise Server 11 SP3)使用的syslog版本不支持TLS加密协议,无需进行配置。
  • 在Euler操作系统上配置TLS加密协议时,请先安装rsyslog-gnutls,以便启用对TLS的支持。

    安装rsyslog-gnutls示例:请先将“rsyslog-gnutls-7.4.7-7.2.h1.x86_64.rpm”上传至对应的节点,再执行rpm -ivh rsyslog-gnutls-7.4.7-7.2.h1.x86_64.rpm命令。

  • 当前Ops Logging 2.0服务端不支持TLS加密协议。
  • 如果配置了HA功能,则以下操作步骤均需要在HA的主节点和备节点上执行。
操作步骤
  1. 已获取对端服务器的CA证书文件,并重命名为“ca.crt”。

    请向syslog服务器的系统管理员获取CA证书。

  2. 使用文件传输工具,如WinSCP,将重命名后的CA证书文件“ca.crt”上传至eBackup服务器的“/etc/rsyslog.d/cert”目录下。

    如果目录不存在,请执行mkdir -p /etc/rsyslog.d/cert命令进行创建。

  3. 使用PuTTY,登录eBackup服务器。

    默认帐户:hcp,默认密码:PXU9@ctuNov17!

  4. 执行su root命令,输入root帐号密码,切换至root帐号。

    root帐号的默认密码为Cloud12#$

  5. 执行TMOUT=0命令,防止系统超时退出。
  6. 执行cd /etc/命令,进入“/etc/”文件夹。
  7. 执行vi /etc/rsyslog.conf编辑配置文件。
  8. i进入编辑模式。
  9. 在配置文件中,找到syslog server地址信息所在的行。

    例如:服务器地址为“192.168.1.1”,则请输入@@192.168.1.1来进行搜索。

  10. 在该行前加入以下配置项:

    $DefaultNetstreamDriver gtls 
    $DefaultNetstreamDriverCAFile /etc/rsyslog.d/cert/ca.crt 
     
    $ActionSendStreamDriverAuthMode x509/fingerprint 
    $ActionSendStreamDriverPermittedPeer SHA1:DC:92:44:F3:36:23:CC:2B:E6:F6:9E:BF:DB:19:6B:B3:11:3A:82:FB 
    $ActionSendStreamDriverMode 1

    其中,“SHA1”代表对端证书的指纹信息。可以通过在windows上打开对端证书,然后在“详细信息”的“指纹”字段中来取得。

  11. 按“Esc”退出编辑模式,输入:wq,按“Enter”,保存设置并退出vi编辑器。
  12. 调用“systemctl restart rsyslog.service”。

使用Public key方式登录eBackup服务器

本节以PuTTY登录工具为例介绍如何生成公私钥对并配置Public key鉴权,进而登录eBackup服务器。

前提条件

已准备跨平台远程访问工具,如PuTTY。

背景信息
  • 生成私钥文件后,请对其进行妥善保存,以免被盗用。
  • 请定期更换Public key,使用新的公私钥对进行鉴权登录,提高安全性。
操作步骤
  1. 在维护终端生成公私钥对。

    1. 运行“puttygen.exe”文件。
    2. 在界面下方的“Parameters”区域框中,将“Type of key to generate”设置为“SSH-2 RSA”,并将“Number of bits in a generated key”设置为2048到8192间的任一整数。

    3. 单击“Generate”,并在“Key”区域框中下方的空白区域随机移动鼠标,以便快速生成公钥。

      生成的公钥将呈现在区域框中。

    1. 在“Key passphrase”处设置私钥加密密码,并在“Confirm passphrase”处重新输入设置的密码。
      说明:

      此步骤为选做,为了私钥文件的安全,建议用户配置安全的密码对私钥文件进行加密。

    2. 单击“Save private key”将生成的私钥文件保存到本地。

  1. 使用PuTTY,登录eBackup服务器。

    默认帐户:hcp,默认密码:PXU9@ctuNov17!

  2. 执行su root命令,输入root帐号密码,切换至root帐号。

    root帐号的默认密码为Cloud12#$

  3. 执行TMOUT=0命令,防止系统超时退出。

    说明:

    执行该命令后,当前系统在无操作时会保持运行状态,存在安全风险,为了确保系统安全,请在完成相应操作后,执行exit退出当前系统。

  4. 执行cd ~命令进入当前登录用户的home目录。
  5. 执行ls -al命令查看该目录下是否存在“.ssh”文件夹。如果不存在,执行mkdir .ssh命令进行创建。
  6. 执行cd .ssh命令进入“.ssh”文件夹。
  7. 执行ll命令查看该文件夹中是否存在“authorized_keys”文件。如果不存在,执行touch authorized_keys命令进行创建。
  8. 将生成的公钥复制到上述eBackup服务器上的“authorized_keys”文件中并保存。

    说明:

    如果“authorized_keys”文件中已经存在内容,将公钥拷贝到新的一行即可。

  9. 退出eBackup服务器。
  10. 在维护终端打开PuTTY工具,输入登录eBackup服务器的IP地址或者主机名。
  11. 在“Category”区域中依次选择“Connection > SSH > Auth”。
  12. 单击“Browse”,选择保存的私钥文件。

  13. 单击“Open”,输入登录的用户名和私钥的密码(当已设置),登录eBackup服务器。

停止使用eBackup Web服务器的HTTP协议

eBackup Web服务器支持HTTP协议,HTTP为不安全协议,为了确保eBackup备份管理系统安全,建议您停止使用Web服务器的HTTP协议。

前提条件
  • 已准备跨平台远程访问工具,如PuTTY。
  • 已获取eBackup服务器的备份管理平面IP地址以及hcproot帐户的登录密码。
背景信息

停止使用HTTP协议,需要重新启动eBackup服务进程,请在执行该操作前停止eBackup业务。

操作步骤
  1. 使用PuTTY,以管理IP地址登录workflow-eBackup01节点(Manager角色所在节点)或Server角色所在节点。

    登录地址:
    • workflow-eBackup01节点的管理IP地址为“Workflow-PublicService-IP0”字段对应的IP地址。
    • Server角色所在节点的管理IP地址为“datamover_externalom_iplist”字段对应的IP地址。

    在CSHA或管理面跨AZ高可用场景下,Manager角色所在节点的名称为“workflow-eBackup”

    默认帐户:hcp,默认密码:PXU9@ctuNov17!

  2. 执行以下命令,输入root帐户密码,切换至root帐户。

    root帐号的默认密码为Cloud12#$

    su root

  3. 执行以下命令,防止PuTTY超时退出。

    TMOUT=0
    说明:

    执行该命令后,当前系统在无操作时会保持运行状态,存在安全风险,为了确保系统安全,请在完成相应操作后,执行exit退出当前系统。

  4. 执行以下命令,进入配置文件存放路径。

    cd /opt/huawei-data-protection/ebackup/ism/Apache24/conf/

  5. 停止使用HTTP协议。

    1. 执行以下命令,打开“httpd.conf”文件。

      vi httpd.conf

    2. 按“i”进入编辑模式,编辑“httpd.conf”文件。
    3. 删除文件中如下显示内容。
       Listen 192.168.100.100:8080 
        
       <VirtualHost *:8080> 
           ServerName 192.168.100.100:8080 
           <Directory /> 
               AllowOverride None 
               Options None 
               Require all denied 
           </Directory> 
           <Directory "${DoCR}"> 
               Options None 
               AllowOverride None 
               Require all denied 
           </Directory> 
           RewriteEngine on 
           RewriteOptions Inherit 
           RewriteCond %{SERVER_PORT} 8080$ 
           RewriteRule ^(.*) https://%{SERVER_NAME}:8088$1 [R,END] 
       </VirtualHost>
      说明:

      “192.168.100.100”信息根据实际情况会显示不同,请以实际显示信息为准。

    4. 按“ESC”退出编辑模式。
    5. 输入:wq命令并按“Enter”,保存并退出“httpd.conf”文件。

  6. 执行以下命令,清除端口配置。

    sed -i -e '/-p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080/d' -e '/-p tcp -m tcp --dport 8080 -j ACCEPT/d' /etc/sysconfig/iptables

    说明:

    HA场景下,请在Manager主备节点或Server主备节点上都执行清除端口配置操作。

  7. 执行以下命令,使配置生效。

    iptables-restore /etc/sysconfig/iptables

  8. 执行以下命令,重新启动eBackup服务进程。

    service hcp restart
    说明:
    • HA场景下,请在Manager主节点或Server主节点上执行重启操作。
    • 重启操作可能导致HA主备切换。

翻译
下载文档
更新时间:2019-01-25

文档编号:EDOC1100015665

浏览量:28286

下载量:785

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页