使用VERITASVxSS来保护备份和存储系统的数据安全(精)

1、使用VERITAS VxSS来保护备份和存储系统的数据安全安全在数据保护业务中的重要性在当今高度发达的信息社会，数字化的资源充斥着人们的生活空间。信息社会 最宝贵的是什么？用户的核心数据。随着信息技术的广泛应用和快速发展，信息存 储和安全已经成为广大用户倍加重视和迫切需要解决的问题如何保护核心数据，是一个不断发展的课题,其间经历了多次反复，如数据到底 是集中管理、集中控制，还是分散管理、分散控制 。随着技术的进步，为保证数 据在各种情况下 都可用，NAS、SAN等网络存储技术应运而生，并有多种安全可靠 的备份工具可以使用。保护核心资源，也就是从各个角度来保护传输系统与存储、 处理系统。由此可见

2、,存储系统 在整个信息系统中所处的核心地位和作用。随着存储系统地位的提高，其安全性也得到了越来越多的重视。如何保护现有 的存储资源的合理利用以及人为损坏，已经成为衡量存储系统的重要指标，这不仅 需要合理选择存储 与备份系统，还需要对系统进行验证和检验，做到心中有数,确保数 据存储安全。Veritas VxSS就是针对存储系统所提供的验证和授权服务，通过对系统的认证和授权，保证数据访问得到有效的控制，提高数据的可靠性和安全性。 本文就是描述 了 VxSS与Veritas备份和存储产品的结合使用方法。VxSS组件介绍VERITAS架构服务是Symantec数据线产品共同包含的一组通用软件，主要包含

3、、信 息交互组件（Private branch exchange, pbx 安全管理组件 （security service,VxSS 和服 务管理组件（service management facilities , smf等等。其中 VxSS 是用来 帮助用户实现核 心安全。目前,VxSS的应用已经基本覆盖了 Symantec数据线所有 产品，鉴于它的重要性，十分有必要对它的功能和应用做一个简单的介绍。首先介绍 一下VxSS中常见的一些术语：VxSS组件VxSS组件包括两个服务：身份验证（身份验证服务器、身份验证客户机和授权 （授权服务器、授权客户机。身份验证就是向VxSS系统证明您的身份的

4、过程。整个身份验证过程是这样 的:首先,与后台驻留程序通信，后者接着与操作系统确认您的身份；授权是验证一个身份是否有权执行所需操作的过程。Veritas的产品通过授权后台驻留程序来验证大多数操作的权限。在许多情况下,Veritas的产品会改变可从 命令行和管理控制台访问的信息。根代理（root broker根代理是安装了 VxSS Authentication Server并配置为根代理的服务器。每个实际应用的访问管理配置中始终都有一个根代理。根代理有下述两个作用1.根代理作为最可信的证书颁发机构，为身份验证代理及自身实现注册授权1。2.根代理可以验证身份验证代理的身份，但身份验证代理不能验证

5、根代理的身 份。身份验证代理身份验证代理是安装了 VxSS Authe ntication Server的服务器。此计算机属于根代理的专用访问管理域。身份验证代理可以验证客户机的身份，但不能验证其他代理的身份。安全管理员默认情况下，是由Security Admin用户组的成员来安装和配置 VxSS软件，以用 于访问控制管理。本文将Security Admin组的成员称为安全管理员。可以向该组中添加用户，但由于安全性的原因，该组中的成员通常很少。VxSS在NBU中的应用NBU是Symantec的备份软件，通过授权和认证，可以加强对于磁带库,磁盘的控 制,拒绝未经认证或者权限不够的客户端使用重要的

6、存储设备，或者拒绝其获得或破坏重要的数 据资源。1.认证现在认证的过程是分为两部分的，第一是在主服务器建立一个根代理来提供认证服 务;第二是把需要访问控制的服务器和客户端加入到该根代理的管理之下。我们来分别介绍一下这两个部分：在 master server建立根代理:a创建专用域，所有需要被验证的节点都要属于这个域bpn bat -addmachi neb要为主服务器创建凭据，改证书相当于证明主服务器合法的证书。在主服务器上运行下列命令:bpn bat -Log inM ach inec创建第一个安全管理员，该管理员有创建新证书，授权的能力1在许多情况下，根代理同时也是身份验证代理bpn ba

7、z -set up security win _masterd把需要认证的节点加入到该主服务器的监管之下，使其成为可执行授权检查的被授权主机bpn baz -AllowAuthorizatio n win_master将需要访问控制的服务器和客户端加入到该根代理所在域a在主服务器上，为介质服务器创建一个计算机帐户bpn bat -addmachi neb要为介质服务器创建凭据,在介质服务器上运行以下命令：bpn bat -Log inM ach ine这样,就可以控制只有得到证书的系统可以访问 NBU主服务器上面的资源。2.授权a得知该服务器所在的域bpn bat -whoami -cf /u

8、sr/o penv /var/vxss/crede ntials/u nix_master.mi b验证允许哪台计算机执行授权查找bpnbaz -ShowAuthorizersc如果授权计算机列表中缺少主服务器或介质服务器，运行bpnbaz -allowauthorization来添加缺少的计算机d验证数据库是否配置正确bpnbaz -listgroupse如果未显示组，或者bpn baz -listma in objects未返回数据,运行bpn baz -Set up Securityf确保vxatd和vxazd进程正在运行g为主服务器指明授权服务器bpn baz -Set up Secu

9、rity master_server -server AZ_serverh允许授权,以root身份执行bpn baz -AllowAuthorizati on server这样，之前在授权配置中添加的安全管理员就可以生效并对存储资源进行分配 授权了。VxSS在SF中的应用SF是Symantec的数据存储软件，通过授权和认证，可以加强对于共享磁盘的控 制,拒绝未经认证或者权限不够的客户端使用重要的存储设备，或者拒绝其获得或破 坏重要的数 据资源。认证和授权a验证根代理的安装/op t/VRTSat/bi n/vssat showalltrustedcredsb在需要认证的服务器上创建证书/op

10、t/VRTSat/bi n/vssat add prpi -pdrtype root -doma in root - prpin ame test1 -p assword ttrrrr -p rplt ype servicec验证是否需要认证的服务器都在根代理中注册/op t/VRTSat/bi n/vssat show prpI -pdrtype root -domai n root - prpin ame test1d增加非root用户,并设置密码/usr/sb in/useradd -d /test ing/nonroot -m nonroote在VCS中加入新用户hauser -add nonro ot -priv Admi ni stratorf定义认证域名和认证模式，使用unix的Password认证模式VCS_DOMAIN= ; export VCS_DOMA