使用VERITASVxSS来保护备份和存储系统的数据安全(精)

使用 VERITAS VxSS来保护备份和存储系统的数据安全
安全在数据保护业务中的重要性
在当今高度发达的信息社会, 数字化的资源充斥着人们的生活空间。

信息社会最宝贵的是什么?用户的核心数据。

随着信息技术的广泛应用和快速发展, 信息存储和安全已经成为广大用户倍加重视和迫切需要解决的问题
如何保护核心数据, 是一个不断发展的课题, 其间经历了多次反复, 如数据到底是集中管理、集中控制,还是分散管理、分散控制… 。

随着技术的进步,为保证数据在各种情况下都可用, NAS 、 SAN 等网络存储技术应运而生,并有多种安全可靠的备份工具可以使用。

保护核心资源, 也就是从各个角度来保护传输系统与存储、处理系统。

由此可见, 存储系统在整个信息系统中所处的核心地位和作用。

随着存储系统地位的提高, 其安全性也得到了越来越多的重视。

如何保护现有的存储资源的合理利用以及人为损坏, 已经成为衡量存储系统的重要指标, 这不仅需要合理选择存储与备份系统,还需要对系统进行验证和检验,做到心中有数,确保数据存储安全。

Veritas VxSS就是针对存储系统所提供的验证和授权服务,通过对系统的认证和授权, 保证数据访问得到有效的控制, 提高数据的可靠性和安全性。

本文就是描述了 VxSS 与 Veritas 备份和存储产品的结合使用方法。

VxSS 组件介绍
VERITAS 架构服务是 Symantec 数据线产品共同包含的一组通用软件,主要包含、信息交互组件(private branch exchange, pbx 、安全管理组件(security service, VxSS 和服务管理组件(service management facilities , smf 等等。

其中 VxSS 是用来帮助用户实现核心安全。

目前, VxSS 的应用已经基本覆盖了 Symantec 数据线所有产品,鉴于它的重要性, 十分有必要对它的功能和应用做一个简单的介绍。

首先介绍一下 VxSS 中常见的一些术语:
VxSS 组件
VxSS 组件包括两个服务:身份验证(身份验证服务器、身份验证客户机和授权(授权服务器、授权客户机。

●身份验证就是向 VxSS 系统证明您的身份的过程。

整个身份验证过程是这样的:首先,与后台驻留程序通信,后者接着与操作系统确认您的身份;
●授权是验证一个身份是否有权执行所需操作的过程。

Veritas 的产品通过授权后台驻留程序来验证大多数操作的权限。

在许多情况下, Veritas 的产品会改变可从命令行和管理控制台访问的信息。

根代理(root broker
根代理是安装了 VxSS Authentication Server 并配置为根代理的服务器。

每个实际应用的访问管理配置中始终都有一个根代理。

根代理有下述两个作用:
1. 根代理作为最可信的证书颁发机构,为身份验证代理及自身实现注册授权 1。

2. 根代理可以验证身份验证代理的身份,但身份验证代理不能验证根代理的身份。

身份验证代理
身份验证代理是安装了 VxSS Authentication Server 的服务器。

此计算机属于根代理的专用访问管理域。

身份验证代理可以验证客户机的身份,但不能验证其他代理的身份。

安全管理员
默认情况下,是由 Security Admin 用户组的成员来安装和配置 VxSS 软件,以用于访问控制管理。

本文将 Security Admin 组的成员称为安全管理员。

可以向该组中添加用户, 但由于安全性的原因,该组中的成员通常很少。

VxSS 在 NBU 中的应用
NBU 是 Symantec 的备份软件,通过授权和认证,可以加强对于磁带库,磁盘的控制, 拒绝未经认证或者权限不够的客户端使用重要的存储设备, 或者拒绝其获得或破坏重要的数据资源。

1. 认证
认证的过程是分为两部分的, 第一是在主服务器建立一个根代理来提供认证服务; 第二是把需要访问控制的服务器和客户端加入到该根代理的管理之下。

现在我们来分别介绍一下这两个部分:
在 master server建立根代理:
a 创建专用域,所有需要被验证的节点都要属于这个域
bpnbat – addmachine
b 要为主服务器创建凭据, 改证书相当于证明主服务器合法的证书。

在主服务器上运行下列命令:
bpnbat – LoginMachine
c 创建第一个安全管理员,该管理员有创建新证书,授权的能力
1在许多情况下,根代理同时也是身份验证代理
bpnbaz -setupsecurity win_master
d 把需要认证的节点加入到该主服务器的监管之下, 使其成为可执行授权检查的被授权主机
bpnbaz -AllowAuthorization win_master
将需要访问控制的服务器和客户端加入到该根代理所在域
a 在主服务器上,为介质服务器创建一个计算机帐户
bpnbat – addmachine
b 要为介质服务器创建凭据,在介质服务器上运行以下命令:
bpnbat – LoginMachine
这样,就可以控制只有得到证书的系统可以访问 NBU 主服务器上面的资源。

2. 授权
a 得知该服务器所在的域
bpnbat -whoami -cf /usr/openv/var/vxss/credentials/unix_
b 验证允许哪台计算机执行授权查找
bpnbaz – ShowAuthorizers
c 如果授权计算机列表中缺少主服务器或介质服务器,运行
bpnbaz -allowauthorization 来添加缺少的计算机
d 验证数据库是否配置正确
bpnbaz – listgroups
e 如果未显示组,或者 bpnbaz -listmainobjects 未返回数据,运行
bpnbaz -SetupSecurity
f 确保 vxatd 和 vxazd 进程正在运行
g 为主服务器指明授权服务器
bpnbaz -SetupSecurity master_server [-server AZ_server
h 允许授权,以 root 身份执行
bpnbaz -AllowAuthorization server
这样,之前在授权配置中添加的安全管理员就可以生效并对存储资源进行分配授权了。

VxSS 在 SF 中的应用
SF 是 Symantec 的数据存储软件,通过授权和认证,可以加强对于共享磁盘的控制, 拒绝未经认证或者权限不够的客户端使用重要的存储设备, 或者拒绝其获得或破坏重要的数据资源。

认证和授权
a 验证根代理的安装
/opt/VRTSat/bin/vssat showalltrustedcreds
b 在需要认证的服务器上创建证书
/opt/VRTSat/bin/vssat addprpl --pdrtype root --domain root@ --prplname test1 --password ttrrrr --prpltype service
c 验证是否需要认证的服务器都在根代理中注册
/opt/VRTSat/bin/vssat showprpl --pdrtype root --domain root@ --prplname test1
d 增加非 root 用户 , 并设置密码
/usr/sbin/useradd -d /testing/nonroot -m nonroot
e 在 VCS 中加入新用户
hauser -add nonroot@ -priv Administrator
f 定义认证域名和认证模式,使用 unix 的 password 认证模式
VCS_DOMAIN= ; export VCS_DOMAIN
VCS_DOMAINTYPE=unixpwd; export VCS_DOMAINTYPE
g 确定证书的存在
cat $HOME/.vcspwd
h 确认可以登陆 VCS
halogin nonroot
这样,该非根用户才可以在 root broker 的授权下,访问 storage 中相应的数据资源。

完成认证授权的配置。