Dell PowerFlex v3.6.x
Průvodce konfigurací zabezpečení

Konfigurace zabezpečení V36X Power Flex

Poznámky, upozornění a varování

POZNÁMKA: POZNÁMKA označuje důležité informace, které vám pomohou lépe využívat váš produkt.
POZOR: UPOZORNĚNÍ označuje potenciální poškození hardwaru nebo ztrátu dat a říká, jak se problému vyhnout.
VAROVÁNÍ: VAROVÁNÍ označuje potenciální poškození majetku, zranění osob nebo smrt.

© 2020 – 2023 Dell Inc. nebo její dceřiné společnosti. Všechna práva vyhrazena. Dell Technologies, Dell a další ochranné známky jsou ochranné známky společnosti Dell Inc. nebo jejích dceřiných společností. Ostatní ochranné známky mohou být ochrannými známkami příslušných vlastníků.

Zavedení

Tato příručka poskytuje přesview nastavení zabezpečení dostupných v PowerFlex k zajištění bezpečného provozu produktu.

Bezpečnostní prvky
PowerFlex má řadu bezpečnostních funkcí.
Nastavení zabezpečení jsou rozdělena do následujících kategorií:

• Nastavení řízení přístupu popisuje nastavení dostupná pro omezení přístupu koncového uživatele nebo externích součástí produktu.
• Nastavení protokolu popisuje nastavení související s protokolováním událostí.
• Nastavení zabezpečení komunikace popisuje nastavení související se zabezpečením síťové komunikace produktu.
• Spouštění skriptů na hostitelích vysvětluje možnost spouštět skripty poskytnuté uživatelem na serverech hostujících komponenty DM nebo SDS.
• Nastavení zabezpečení dat popisuje nastavení, která jsou k dispozici pro zajištění ochrany dat zpracovávaných produktem.

Integrita dat
Je důležité definovat kontroly, které zabrání neoprávněnému zveřejnění trvale uložených dat.
Pro zachování integrity dat se doporučuje používat D@RE s CloudLink pro šifrování dat v klidu jak zařízení PowerFlex, tak virtuálních strojů.
POZNÁMKA: Pro bezpečné vymazání musíte použít externí nástroj.

Dobré vědět
Další bezpečnostní aspekty systému PowerFlex
Následující aspekty systému PowerFlex jsou tvrzené:

• Storage Virtual Machines (SVM) v systémech založených na ESXi
• Apache Tomcat (tvrzený pomocí STIG)

Nastavení řízení přístupu

Následující témata popisují nastavení řízení přístupu, která se používají k ochraně prostředků před neoprávněným přístupem.

Podporovaná nastavení řízení přístupu
Nastavení řízení přístupu se používají k ochraně zdrojů před neoprávněným přístupem.
Jsou podporována následující nastavení řízení přístupu:

MDM:

• Pro přístup k MDM jsou potřeba uživatelské role a hesla. Uživatelům lze přiřadit uživatelské role s různými přístupovými oprávněními. Je podporována lokální i LDAP autentizace. Další informace naleznete v části „Správa uživatelů“ v části Konfigurace a přizpůsobení Dell PowerFlex.
• Režim omezeného přístupu MDM – systém lze nakonfigurovat tak, aby umožňoval vzdáleným klientům přístup k MDM pouze pro čtení. V tomto režimu mají úplná konfigurační oprávnění pouze místní uživatelé připojující se k MDM pomocí adresy IP 127.0.0.1.
• Omezený režim SDC – systém lze nakonfigurovat tak, aby umožňoval připojení pouze schváleným SDC k MDM. Tento režim vás nutí mapovat svazky pouze na SDC, které byly dříve schváleny uživatelem, a to tak, že je nakonfigurujete pomocí jejich GUID.
  Pro zvýšení zabezpečení můžete určit, že s MDM mohou komunikovat pouze SDC s předkonfigurovanými IP adresami. Další informace naleznete v části Konfigurace a přizpůsobení Dell PowerFlex.
• Ověření SSL interních komponent k MDM – umožňuje bezpečné ověření komponent PowerFlex SDS k MDM pomocí veřejného a soukromého klíče (Pár klíčů) přidruženého k certifikátu. Důvěra je vytvořena při přidávání SDS a opětovné připojení bude vyžadovat opětovné ověření.
• Zabezpečená konektivita s externími komponentami – umožňuje externím komponentám ověřit MDM pomocí certifikátu a autentizovat zpět do MDM pomocí uživatelského jména a hesla. Po autentizaci probíhá komunikace mezi MDM a externími komponentami pomocí protokolů TLS (Transport Layer Security). Mezi externí komponenty patří: klient PowerFlex Installer, klient PowerFlex CLI, klient PowerFlex GUI, plug-in vSphere a PowerFlex Gateway. Stejná metoda se používá mezi klientem PowerFlex Installer a LIA.
• K uložení pověření MDM na bráně PowerFlex se používá RSA Lockbox. Tyto přihlašovací údaje jsou vyžadovány pro účely ověřování odesílatelem depeší SNMP a ESRS.
• PowerFlex lze použít ke spouštění skriptů poskytovaných uživateli na serverech hostujících komponenty MDM nebo SDS. Tato funkce je podporována pouze na uzlech založených na Linuxu. Tuto funkci lze použít pro jakýkoli účel mimo systém PowerFlex, jako je spouštění sady příkazů prostředí Linux, záplatování operačního systému a další. Tato funkce umožňuje spouštění skriptů bezpečným způsobem, a to jak z hlediska bezpečnosti, tak z hlediska integrity dat.

Brána PowerFlex:

• Přístup k bráně PowerFlex vyžaduje definování vyhrazeného uživatele. Tento uživatel může být buď místní uživatel, nebo uživatel LDAP.
  Další informace naleznete v technických poznámkách Konfigurace a přizpůsobení Dell PowerFlex nebo Uživatelské role Dell PowerFlex a použití LDAP.
• Přístup k instalačnímu programu PowerFlex vyžaduje uživatelské jméno a heslo. Tento uživatel může být buď místní uživatel, nebo uživatel LDAP.
  Další informace naleznete v technických poznámkách Konfigurace a přizpůsobení Dell PowerFlex nebo Uživatelské role Dell PowerFlex a použití LDAP.
• Ručně vygenerovaný pár veřejného a soukromého klíče lze použít k ověření klíče SSH namísto hesel mezi servery PowerFlex Gateway a PowerFlex.
• Podpora LDAP pro bránu PowerFlex a instalační program PowerFlex nyní zahrnuje až 8 serverů LDAP.

LIA:

• Přístup instalátoru PowerFlex / PowerFlex Gateway k LIA může být omezen na předdefinované IP adresy nakonfigurováním seznamu důvěryhodných IP adres v file:
  • Windows: C : \ Program Files \ emc \ scaleio \ LIA \ cfg \ conf . txt
  • Linux: / opt / emc / scaleio / lia / cfg / conf . txt
• Přístup k LIA může používat místní ověřování nebo ověřování LDAP s až 8 servery LDAP.

REST API:

• REST ověřuje uživatelský přístup pomocí gatewayAdminPassword a mdmPassword (další informace viz Referenční příručka PowerFlex REST API).
• REST ověřuje uživatelský přístup pomocí AMSAdminPassword (další informace naleznete v Referenční příručce k REST API uzlu VxFlex Ready).
• Aktivátor funkce REST – přístup k bráně REST lze zablokovat konfigurací brány U ser . vlastnosti file umístěné na bráně PowerFlex. Tato funkce je ve výchozím nastavení povolena. Podrobné informace naleznete v části „Konfigurace brány PowerFlex pomocí úpravy vlastností uživatele file“, v Referenční příručce rozhraní Dell PowerFlex REST API.

SNMP:

• SNMP – odesílatele depeší SNMP lze povolit nebo zakázat pomocí jedné z níže uvedených metod. Tato funkce je ve výchozím nastavení zakázána. Podrobné informace naleznete v části Konfigurace a přizpůsobení Dell PowerFlex.
  ○ Během nasazení (pouze v systémech Linux a Windows)
  ○ Konfigurace brány U s. . vlastnosti file umístěné na bráně PowerFlex.
  ○ Použití REST API
  POZNÁMKA: Pro bezpečné ověření je vyžadováno OpenSSL 64-bit v1.0.2k-2l nebo v1.1.1i nebo vyšší. V Linuxu je tato verze OpenSSL podporována pouze v CentOS a RHEL 6.5 nebo vyšší.

Autentizace uživatele
Nastavení ověřování uživatele řídí proces ověřování identity nárokované uživatelem pro přístup k produktu.

Výchozí účty
Systém PowerFlex má následující výchozí účty.

Tabulka 1. Výchozí účty

Uživatelský účet	Heslo	Popis
Správce PowerFlex Installer	Heslo je vytvořeno administrátorem na začátku instalačního procesu	Umožňuje uživateli zadávat instalační příkazy v instalačním programu PowerFlex web klienta. Instalační program PowerFlex má výchozího administrátora. Další informace naleznete v části „Příprava instalačního programu PowerFlex a brány PowerFlex“ v příručce PowerFlex Deployment Guide.
SVM root uživatel	Heslo je nastaveno v zásuvném modulu	Účet poskytuje plná oprávnění správce ke všem činnostem konfigurace a monitorování prostřednictvím pluginu vSphere.
správce MDM	Admin	MDM má pouze jeden výchozí účet („admin“) s výchozím heslem („admin“) s rolí Super User. Heslo musí být resetováno při prvním přihlášení během nasazení systému. Tento účet je superuživatelem a poskytuje plná oprávnění správce ke všem činnostem konfigurace a monitorování prostřednictvím rozhraní CLI a GUI.

Obnovte uživatelské heslo správce
Heslo výchozího administrátora (superuživatele) můžete resetovat pomocí kombinace a file zapsána do MDM a příkaz CLI reset _ admin.

Předpoklady
Ujistěte se, že používáte administrátora s oprávněním Superuser.

O tomto úkolu
POZNÁMKA: Postup se vztahuje pouze na výchozího administrátora s oprávněním Superuser, který byl vytvořen během nastavení systému.

Kroky

1. Vytvořte text file s názvem MDM _ SERVICE _ MODE na MDM v umístění odpovídajícím vašemu operačnímu systému:
   ● Windows: C : \ Programové soubory \ emc \ scaleio \ MDM \ logs \ MDM _ SERVICE _ MODE
   ● Linux: / opt / emc / scaleio / mdm / protokoly / MDM _ SERVICE _ MODE
2. V těle file, zadejte text R reset A dmin a uložte soubor file.
3. Z CLI spusťte příkaz reset _ admin:
   scli – – reset _ admin

Výsledky
Uživatelské heslo správce se resetuje na admi n.

Konfigurace autentizace

Místní hesla musí splňovat specifické požadavky.
POZNÁMKA: Pro uživatele LDAP jsou požadavky definovány ověřovacím serverem podle uživatelských zásad organizace.

Ověření uživatele je zpočátku nakonfigurováno během instalace PowerFlex a uživatele lze přidávat a odebírat později pomocí rozhraní CLI PowerFlex (a pouze privilegovaným uživatelem). Hesla MDM a LIA musí splňovat následující kritéria:

• Zahrňte alespoň 3 z následujících 4 skupin: [az], [AZ], [0-9], speciální znaky (!@#$ …)
• Obsahuje 6 až 31 znaků
• Žádná bílá místa
  POZNÁMKA: Zásady hesla ESXi 6 mají následující dodatečné požadavky:
  ● Hesla musí obsahovat znaky alespoň ze tří tříd znaků.
  ● Hesla obsahující znaky ze tří tříd znaků musí mít alespoň sedm znaků.
  ● Hesla obsahující znaky ze všech čtyř tříd znaků musí mít alespoň sedm znaků.
  Velké písmeno, které začíná heslo, se nezapočítává do počtu použitých tříd znaků. Číslo, které končí heslo, se nezapočítává do počtu použitých tříd znaků.

Další informace naleznete v částech „Zabezpečení“ a „Správa uživatelů“ v části Konfigurace a přizpůsobení Dell PowerFlex.
POZNÁMKA: Bezpečnostní politika ESXi 6 je zakázána.

Autorizace uživatele
Nastavení autorizace uživatele řídí práva nebo oprávnění, která jsou uživateli udělena pro přístup ke zdroji spravovanému produktem. Systém podporuje místní uživatele a uživatele LDAP.
Když jsou uživatelé přidáni do MDM, musí jim být přiřazeny definice uživatelských rolí.
POZNÁMKA: Místní ověřování lze zakázat v instalačním programu PowerFlex / PowerFlex Gateway. Další informace naleznete v části „Zabezpečení“ v části Konfigurace a přizpůsobení Dell PowerFlex.

Tabulka 2. Role a oprávnění místních uživatelů a uživatelů LDAP

Uživatelská role	Dotaz		Nakonfigurujte parametry		Nakonfigurujte přihlašovací údaje uživatele
	Místní	LDAP	Místní	LDAP	Místní	LDAP
			Pouze operace backendu (ochranné domény, fondy úložišť, sady chyb, SDS, zařízení, další systémová nastavení)
Konfigurátor frontendu	Ano	Žádný	Ano Pouze operace frontendu (svazky, SDC, snímky)		Žádný	Žádný
Správce	Ano	Žádný	Ano	Žádný	Může konfigurovat uživatele konfigurátoru a monitoru
Bezpečnostní role	Žádný	Žádný	Žádný	Žádný	Může definovat uživatele správce a ovládat LDAP
Super uživatel (na jeden systém je povolen pouze jeden superuživatel a musí to být místní uživatel)	Ano	Nelze použít	Ano	Nelze použít	Ano	Nelze použít

Přihlašovací banner

Přihlašovací banner lze nakonfigurovat pro uživatele PowerFlex GUI i CLI.
Přihlašovací banner je text file který se zobrazí po přihlášení do systému. Lze jej použít ke komunikaci zpráv nebo k získání souhlasu uživatele s monitorováním informací v reálném čase a načítáním uložených informací files. Když je nastaven přihlašovací banner, zobrazí se během procesu přihlášení do systému před výzvou k přihlašovacím údajům. Přihlašovací banner se v GUI PowerFlex a v rozhraních CLI zobrazuje odlišně:

• GUI – Při přihlašování se zobrazí přihlašovací banner, který musí být schválen.
• CLI – Při přihlašování je uživatel vyzván ke stisknutí libovolné klávesy, poté se zobrazí banner. Chcete-li pokračovat, banner musí být schválen.

Pokud přihlašovací banner není vyžadován, lze funkci deaktivovat. Další informace o konfiguraci těchto bannerů naleznete v části Konfigurace a přizpůsobení Dell PowerFlex.

Řízení přístupu ke komponentám
Nastavení řízení přístupu ke komponentám definují řízení přístupu k produktu externími a interními systémy nebo komponentami.
Ověřování komponent
Systém poskytuje bezpečné propojení mezi interními a externími komponenty.

Bezpečná konektivita s vnitřními komponentami systému SDS
Funkce ověřování SSL umožňuje bezpečnou autentizaci komponent PowerFlex SDS pomocí veřejného a soukromého klíče (Key-Pair) spojeného s certifikátem. Funkce funguje následovně:

• Když je do systému PowerFlex přidán SDS (napřamppomocí – – add _ sdscommand) vygeneruje svůj vlastní certifikát a CSR do MDM.
• MDM vystupuje jako certifikační autorita a podepisuje certifikáty pomocí svých vlastních pověření.
• Pokaždé, když se SDS znovu připojí k systému, dojde k ověření. Pokud se výzva nezdaří, tato součást se nebude moci připojit k systému PowerFlex.
• Pokud je to nutné nebo pokud dojde k poruše, tato funkce poskytuje bezpečný chráněný způsob, kterým lze zakázat zabezpečené ověřování.

Shoda s OpenSSL FIPS
Můžete povolit implementaci shody OpenSSL Federal Information Processing Standards (FIPS) v MDM pro komunikaci mezi externími komponentami, včetně PowerFlex GUI, PowerFlex Gateway a CLI, s MDM.
Lze jej také povolit pro jakékoli jiné použití knihovny OpenSSL. Pokyny, jak povolit implementaci shody OpenSSL FIPS, najdete v části „Povolení shody s OpenSSL FIPS“.

Bezpečná konektivita s externími komponenty
Tato funkce umožňuje externím komponentám ověřit MDM pomocí certifikátu a zpětně ověřit MDM pomocí uživatelského jména a hesla. Po autentizaci probíhá komunikace mezi MDM a externími komponentami pomocí protokolů TLS (Transport Layer Security). Zabezpečenou komunikaci s MDM ověřují následující komponenty PowerFlex:

• klient CLI
• Brána PowerFlex
• Klient PowerFlex GUI
• Instalační klient PowerFlex
• zásuvný modul vSphere

Stejná metoda se používá mezi instalačním programem PowerFlex a všemi LIA.
U brány PowerFlex nastavte vlastnost security.bypass_certificate_check ve vlastnostech brány file na true způsobí, že brána bude slepě důvěřovat certifikátům hostitelů, ke kterým se pokouší připojit. Obvykle se brána připojuje k MDM nebo LIA. Toto nastavení ovlivňuje připojení REST a PowerFlex Installer, protože všechna jsou součástí brány. Výchozí nastavení této vlastnosti je fals e.
Jakékoli akce související s přijetím certifikátů budou stále přidávat certifikáty do úložiště důvěryhodnosti file ( truststore . jks) pro budoucí použití, když je tato vlastnost nastavena na fals e. Takové akce jsou:

• Certifikát MDM a schválení certifikátu LIA během instalace pomocí instalačního programu PowerFlex
• Požadavek REST má certifikát důvěryhodnosti hostitele

SSH
Ručně vygenerovaný pár veřejného a soukromého klíče lze použít k ověření klíče SSH namísto hesel mezi servery PowerFlex Gateway a PowerFlex.
POZNÁMKA: Kdykoli se Apache Tomcat normálně vypne a restartuje, nebo když se spustí opětovné načtení aplikace, standardní implementace správce se pokusí serializovat všechny aktuálně aktivní relace na disk. file nachází se prostřednictvím atributu pathname (ve výchozím nastavení SESSIONS.SER). Všechny takto uložené relace budou poté deserializovány a aktivovány (za předpokladu, že mezitím nevypršely), po dokončení opětovného načtení aplikace. Chcete-li odstranit uložené relace po restartu brány PowerFlex, odstraňte následující file: / opt / emc / scaleio / brána / práce / C atalina / localhost / _ / SESSIONS . ser

Konfigurace zabezpečení LIA
Nakonfigurujte parametry LIA pro autorizaci komponent.
Všechny konfigurovatelné parametry LIA jsou zahrnuty v file / opt / emc / scaleio / lia / cfg / conf . tx t. Seznam obsahuje:
lia _ token, lia _ povolit _ nainstalovat, lia _ povolit _ odinstalovat, lia _ povolit _ konfigurovat, lia _ povolit _ načíst _ protokoly, režim lia _ auth _ a ldap 0 _ ur i.

Správa certifikátů komponent
PowerFlex podporuje nahrazení certifikátů následujících komponent:

• Brána PowerFlex
• MDM
• Prezentační server PowerFlex

Správa certifikátů pro PowerFlex Gateway
Tato část vysvětluje, jak nahradit bezpečnostní certifikát s vlastním podpisem brány PowerFlex Gateway „důvěryhodným“ certifikátem vaší organizace a jak vytvořit nový „důvěryhodný“ certifikát. Brána PowerFlex při instalaci nebo upgradu automaticky vytvoří svůj vlastní bezpečnostní certifikát s vlastním podpisem. Pokud vaše organizace nemá žádné speciální požadavky na bezpečnostní certifikát, můžete pokračovat v práci s výchozím certifikátem.

Nahraďte výchozí bezpečnostní certifikát s vlastním podpisem svým vlastním důvěryhodným certifikátem
Vytvořte svůj vlastní důvěryhodný certifikát a poté nahraďte výchozí certifikát certifikátem, který jste vytvořili.

Kroky

1. Najděte umístění keytool na vašem serveru a otevřete jej.
   Je součástí instalace Java (JRE nebo JDK) na vašem serveru v adresáři bin. Napřampten:
   ● C : \ Programové soubory \ J ava \ jdk 1 . 8. 0 _ XX \ bin \ keytool . exe
   ● / usr / bin / keytool
2. Vygenerujte svůj soukromý klíč RSA:
   keytool – genkey – alias < YOUR _ ALIAS > – keyalg RSA – keystore < PATH _ TO _ NEW _ KEYSTORE _ FILE >
   A. Pokud chcete definovat heslo, přidejte do příkazu následující parametry. Pro oba parametry použijte stejné heslo.
   – storepass < KEYSTORE _ PASSWORD > – keypass < KEYSTORE _ PASSWORD >
   POZNÁMKA: Zadejte adresář mimo instalační adresář brány PowerFlex pro nově vytvořené úložiště klíčů file.
   Tím zabráníte jeho přepsání při upgradu nebo přeinstalaci brány PowerFlex.
3. Pokud již máte žádost o podpis certifikátu (CSR), tento krok přeskočte.
   Pokud potřebujete CSR, vygenerujte jej zadáním následujícího příkazu. (Pokud jste v předchozím kroku nedefinovali heslo úložiště klíčů, vynechejte příznaky hesla.)
   keytool – certreq – keyalg RSA – alias < YOUR _ ALIAS > – filecertreq . txt
   – úložiště klíčů < PATH _ TO _ NEW _ KEYSTORE _ FILE > – úložiště < KEYSTORE _ PASSWORD > – klíč
   < KEYSTORE _ PASSWORD >
4. Pokud již certifikát SSL máte, tento krok přeskočte.
   Pokud potřebujete certifikát SSL, použijte svůj CSR k získání nového certifikátu od důvěryhodného poskytovatele certifikátu SSL třetí strany.
   Uložte certifikát file na vašem serveru mimo instalační adresář brány PowerFlex.
   5. Importujte důvěryhodný kořen zadáním tohoto příkazu. (Pokud jste nedefinovali heslo úložiště klíčů, vynechejte příznaky hesla.)
   keytool – import – aliasroot – keystore < PATH _ TO _ NEW _ KEYSTORE _ FILE > – trustcacerts
   – soubor < LOCATIONOF _ YOUR _ root . cer _ FILE > – storepass < KEYSTORE _ PASSWORD > – keypass
   < KEYSTORE _ PASSWORD >
   POZNÁMKA: Certifikát musí být ve formátu x.509.
   Pokud se zobrazí zpráva, že kořenový adresář je již v úložišti celého systému, importujte jej přesto.
5. Importujte zprostředkující certifikáty zadáním příkazu. (Pokud jste nedefinovali heslo úložiště klíčů, vynechejte příznaky hesla.)
   keytool – import – aliasintermediate CA – keystore < PATH _ TO _ NEW _ KEYSTORE _ FILE >
   – trustcacerts – soubor < POLOHA _ _ VAŠEHO _ meziproduktu . cer _ FILE > – storepass < keystorepassword > – keypass < keystorepassword >
   Pro každý zprostředkující certifikát, který nahrajete tímto krokem, musíte zadat jedinečný název aliasu.
6. Nainstalujte certifikát SSL pod stejným aliasem, ze kterého bylo vytvořeno CSR ( v předchozích krocích), zadáním příkazu (pokud jste nedefinovali heslo úložiště klíčů, vynechejte příznaky hesla):
   keytool – import – alias < YOUR _ ALIAS > – keytool < PATH _ TO _ NEW _ KEYSTORE _ FILE >
   – trustcacerts – soubor < LOCATION _ OF _ SSL _ CERTIFICATE > – storepass < keystorepassword >
   – keypass < keystorepassword >
7. Upravte následující položky v file < POWERFLEX _ BRÁNA _ INSTALACE
   ADRESÁŘ > \ conf \ catalina . vlastnosti:
   A. úložiště klíčů. soubor = < PATH _ TO _ NEW _ KEYSTORE _ FILE >
   b. úložiště klíčů. heslo = < HESLO _ DEFINOVÁNO _ BĚHEM _ ÚLOŽIŠTĚ KLÍČE _ VYTVOŘENÍ >
   Pokud jste nedefinovali heslo, výchozí heslo se změní.
8. Restartujte službu PowerFlex Gateway:
   ● Windows: V okně Služby Windows restartujte EMC ScaleIO Gateway.
   ● Linux: Zadejte následující příkaz:
   servicescaleio – restart brány

Výměna bezpečnostního certifikátu je dokončena.

Nahraďte výchozí bezpečnostní certifikát s vlastním podpisem svým vlastním certifikátem s vlastním podpisem
Nahraďte výchozí bezpečnostní certifikát s vlastním podpisem svým vlastním bezpečnostním certifikátem s vlastním podpisem.

Kroky

1. Najděte umístění keytool na vašem serveru a otevřete jej.
   Obvykle je součástí instalace Java (JRE nebo JDK) na vašem serveru v adresáři bin. Napřampten:
   ● C : \ Programové soubory \ J ava \ jdk 1 . 8. 0 _ XX \ bin \ keytool . exe
   ● / usr / bin / keytool
2. Vygenerujte svůj soukromý klíč RSA:
   keytool – genkey – alias < YOUR _ ALIAS > – keyalg RSA – platnost 3 6 0 – velikost klíče 2 0 4 8 – úložiště klíčů
   < PATH _ TO _ NEW _ KEYSTORE _ FILE >
   A. Pokud chcete definovat heslo, přidejte do příkazu následující parametry. Pro oba parametry použijte stejné heslo.
   – storepass < KEYSTORE _ PASSWORD > – keypass < KEYSTORE _ PASSWORD >
   POZNÁMKA: Zadejte adresář mimo instalační adresář brány PowerFlex pro nově vytvořené úložiště klíčů file.
   Tím zabráníte jeho přepsání při upgradu nebo přeinstalaci brány PowerFlex.
3. Upravte následující položky v file < POWERFLEX _ BRÁNA _ INSTALACE
   ADRESÁŘ > \ conf \ catalina . vlastnosti:
   A. úložiště klíčů. soubor = < PATH _ TO _ NEW _ KEYSTORE _ FILE >
   b. úložiště klíčů. heslo = < HESLO _ DEFINOVÁNO _ BĚHEM _ ÚLOŽIŠTĚ KLÍČE _ VYTVOŘENÍ >
   Pokud jste nedefinovali heslo, výchozí heslo se změní.
4. Restartujte službu PowerFlex Gateway:
   ● Windows: V okně Služby Windows restartujte EMC ScaleIO Gateway.
   ● Linux: Zadejte následující příkaz:
   servicescaleio – restart brány

Výsledky
Výměna bezpečnostního certifikátu je dokončena.
Nakonfigurujte součinnost OpenStack s bránou PowerFlex
Nakonfigurujte ovladač PowerFlex Cinder pro ověření certifikátu PowerFlex Gateway SSL.

O tomto úkolu
Ovladač OpenStack PowerFlex Cinder komunikuje s bránou PowerFlex přes HTTPS (jinými slovy přes SSL). Ve výchozím nastavení ovladač ignoruje ověření certifikátu SSL brány. Ovladač PowerFlex Cinder však lze nakonfigurovat tak, aby ověřoval certifikát.
POZNÁMKA: Můžete vygenerovat certifikát s vlastním podpisem (.PEM file), pomocí nástroje keytool.
Chcete-li povolit ověření certifikátu, přidejte do souboru následující parametry file / etc / cinder / cinder _ scaleio . konfigurace na uzlu Cinder:
ověřit _ server _ certifikát = true
server _ certifikát _ cesta = < PATH _ TO _ PEM _ FILE >

Vygenerujte certifikát s vlastním podpisem pomocí nástroje keytool
Vygenerujte certifikáty s vlastním podpisem pomocí nástroje keytool. Certifikáty může ovladač OpenStack PowerFlex použít ke komunikaci s bránou PowerFlex.
O tomto úkolu
Chcete-li vygenerovat certifikát s vlastním podpisem pomocí nástroje keytool, proveďte následující kroky:

Kroky

1. Vytvořte úložiště klíčů file ( . JKS):
   keytool – genkeypair – keysize 1 0 2 4 – aliasherong _ key – keypasskeypass – keystoreherong . jks – storepassjkspass
2. Exportujte úložiště klíčů file na . PEM file:
   keytool – exportcert – aliasherong _ key – keypasskeypass – keystoreherong . jks – storepassjkspass – rfc – filekeytool _ crt . pem
   Certifikát je uložen v file < keytool _ crt . pem >. Během konfigurace ovladače Cinder se cesta k tomuto . PEM file je vyžadováno.

Pracovní postup pro externě podepsané bezpečnostní certifikáty
Systém generuje a podepisuje certifikáty s vlastním podpisem automaticky, když je povolena zabezpečená komunikace a není vyžadován žádný zásah uživatele. Certifikáty můžete nahradit externě podepsaným bezpečnostním certifikátem. Certifikační autorita (CA) používá CSR (Certificate Signing Request) file vytvořit externě podepsaný bezpečnostní certifikát.

O tomto úkolu
Pracovní postup popisuje, jak nahradit certifikáty podepsané externí CA pro každý MDM.

Kroky

1. Přihlaste se k primárnímu MDM s uživatelskou rolí zabezpečení nebo správce:
   scli – – mdm _ ip < primární _ mdm _ ip > – – přihlášení – – uživatelské jménoadmin – – heslo < heslo >
2. Vygenerujte CSR file na primárním MDM, pro zadaný MDM (cíl):
   scli – – vygenerovat _ mdm _ csr _ soubor – – cíl _ mdm _ ip < mdm _ ip >
   The file mdm – cíl _ název hostitele . csr je vytvořen a uložen do:
   ● Linux: / opt / emc / scaleio / mdm / cfg
   ● Windows: C : \ Programové soubory \ emc \ scaleio \ mdm \ cfg
3. Odešlete vygenerované CSR file na CA k podpisu.
   CA vrátí následující files:
   A. Certifikát pro každý MDM.
   b. Důvěryhodný/kořenový certifikát a jeho zprostředkující certifikát od CA.
4. Na každém MDM z CLI přidejte kořenový a zprostředkující certifikát do úložiště důvěryhodnosti pomocí příkazu – – add _ certificate. Další informace naleznete v Referenční příručce PowerFlex CLI.
   scli – – přidat _ certifikát – – certifikát _ kořenový adresář souboru – ca . pem . crt
5. Spusťte následující příkazy pomocí nástroje Java's keytool a importujte všechny certifikáty do úložiště důvěryhodnosti každé z následujících komponent. Po spuštění příkazů se doporučuje restartovat stroj.
   ● Brána PowerFlex
   ○ Linux: / opt / emc / scaleio / brána / webové aplikace / ROOT / WEB – INF / třídy / certifikáty / úložiště důvěryhodnosti . jks
   ○ Windows (64 bitů): C : \ Program
   Soubory \ EMC \ S cale IO \ G gateway \ webapps \ ROOT \ WEBINF \ class \ certificates \ truststore . jks
   ● Prezentační server PowerFlex
   POZNÁMKA: Podrobné kroky, jak importovat certifikát z MDM na prezentační server PowerFlex, najdete v části „Aktualizace certifikátu pro prezentační server PowerFlex“.
   ○ Linux: / etc / mgmt – server / . config / mdm – truststore . jks
   ● plugin vSphere
   ○ Linux: $ HOME / . vmware / scaleio / certifikáty
   ○ Windows: C : \ U sers \ [ uživatelské _ jméno ] \ A pp Data \ R oaming \ VM ware \ scaleio \ certificates \ truststore . jks nebo C:
   \ W indows \ Systém 3 2 \ config \ systemprofile \ A pp Data \ R oaming \ VM ware \ scaleio \ certifikáty
   Důvěra je nyní nastolena.
6. Uložte podepsaný certifikát pro MDM do / opt / emc / scaleio / mdm / cf g.
7. Přejmenujte certifikát MDM file na mdm _ podepsaný _ certifikát . pe m.
8. Z MDM se vzdáleně přihlaste k primárnímu MDM s uživatelskou rolí zabezpečení nebo správce:
   scli – – mdm _ ip < primární _ mdm _ ip > – – přihlášení – – uživatelské jménoadmin – – heslo < heslo >
9. Spuštěním následujícího příkazu začněte aplikovat podepsaný certifikát na každý z MDM:
   / opt / emc / scaleio / mdm / bin / použít _ podepsaný _ certifikát . py – – mdm _ ip < primární _ mdm _ ip > – místní _ mdm _ ip < místní _ mdm _ ip >
   Pokud je na MDM povolena funkce vzdáleného pouze pro čtení, přidejte k příkazu příkaz – – skip _ cli _ a později, když jste přihlášeni s uživatelem, který má oprávnění zabezpečení, spusťte příkaz scli – – nahraďte _ mdm _ security _ soubor s.
   POZNÁMKA: Tento krok změní certifikát MDM a může způsobit krátké období selhání (přepnutí vlastnictví).

Aktualizujte certifikát pro prezentační server PowerFlex
Importujte certifikáty CA z MDM na prezentační server PowerFlex.

Kroky

1. Zkopírujte kořenový a zprostředkující certifikát CA filesintr – cca . pem . crt a root – cca . pem . crt na server, který je nainstalován s prezentačním serverem PowerFlex.
2. Spusťte následující příkaz pro kořenové a zprostředkující certifikáty CA a uložte výstup:
   opensslx 5 0 9 – noout – inroot – ca . pem . crt – předmět
   opensslx 5 0 9 – noout – ininter – ca . pem . crt – předmět
3. Spusťte příkaz keytool pro import kořenového a zprostředkujícího certifikátu CA z MDM:
   keytool – import – trustcacerts – alias “ < předmět, který jste dostali jako výstup
   previouscommand > “ – file / tmp / root – ca . pem . crt – úložiště klíčů / etc / mgmt – server / . config / mdmt
   ruststore . jks
   keytool – import – trustcacerts – alias ” < předmět, který jste dostali jako výstup
   předchozí příkaz > ” – soubor / tmp / inter – ca . pem . crt – úložiště klíčů / etc / mgmt – server / . config / mdmt
   ruststore . jks
   – alias odkazuje na jedinečný alias v úložišti důvěryhodnosti a – soubor je cesta k důvěryhodnému/kořenovému certifikátu. Jako alias se doporučuje použít předmět certifikátu.
   Exampten:
   keytool – import – trustcacerts – alias “ / C = AU / ST = CA / L = CA / O = CA / OU = CA / CN = CA /
   email A adresa = tom . smith @ dell . com “ – soubor / tmp / root – ca. pem . crt – úložiště klíčů / etc / mgmts
   erver / . config / mdm – truststore . jks
   keytool – import – trustcacerts – alias “ / C = AU / ST = CA / O = CA / OU = CA / CN = CA /
   email A adresa = tom . smith @ dell . com ” – soubor / tmp / inter – ca . pem . crt – úložiště klíčů / etc / mgmts
   erver / . config / mdm – truststore . jks
4. Restartujte prezentační server PowerFlex:
   servicemgmt – restart serveru
   POZNÁMKA: Pro RHEL6.10 použijte příkaz initctlrestartmgmt – server r.

Výsledky
Certifikáty podepsané CA jsou nyní nastaveny v systému.

PowerFlex shromažďuje několik protokolů.
Protokol je chronologický záznam systémových aktivit, který je dostatečný k tomu, aby umožnil rekonstrukci a prozkoumání posloupnosti prostředí a aktivit obklopujících nebo vedoucích k operaci, postupu nebo události v transakci související se zabezpečením od počátku až po konečné výsledky.

Popis protokolu
Různé protokoly shromážděné různými součástmi systému jsou uloženy na různých místech.
POZNÁMKA: PowerFlex používá Apache Tomcat, který má vlastní sadu standardních protokolů. Další informace o protokolech Tomcat naleznete v dokumentaci Apache Tomcat.

Tabulka 3. Log files

Komponent	Umístění
deník MDM Protokoly neobsahují žádná uživatelská data (protože uživatelská data neprocházejí MDM) Protokoly mohou obsahovat uživatelská jména MDM (ale nikdy hesla), IP adresy, konfigurační příkazy MDM, události atd.	Linux: /opt/emc/scaleio/mdm/logs
REST protokoly	\logs Napřampten: Windows – c:\Program Files\emc\scaleio\gateway\logs Linux —/opt/emc/scaleio/gateway/logs K dispozici jsou následující protokoly: ● scaleio.log ● scaleio-trace.log ● Operations.log ● localhost_access_log.log ● audit.log ● api_operations.log
Protokoly instalačního programu PowerFlex	\logs Napřampten: ● Windows: ○ c:\Program Files\emc\scaleio\gateway\logs ● Linux: ○ /opt/emc/scaleio/gateway/logs K dispozici jsou následující protokoly: ● scaleio.log ● scaleio-trace.log ● Operations.log ● localhost_access_log.log
protokoly LIA	Windows: ● C:\Program Files\emc\scaleio\lia\logs Linux: ● /opt/emc/scaleio/lia/logs
Záznamy Tomcat	Windows: ● C:\Program  Files\EMC\ScaleIO\Gateway\logs\tomcat.log Linux: ● /opt/emc/scaleio/gateway/logs
Protokoly prezentačního serveru PowerFlex	Linux: ● opt/emc/scaleio/mgmt-server/logs
zásuvný modul vSphere PowerFlex
Protokol nasazení zásuvného modulu PowerFlex:	Windows: ● c:\Windows\System32\config\systemprofile\AppDdata\Roamin \VMware\scaleio\deployment.log Linux: ● /opt/.vmware/scaleio/deployment.log
Protokol vrácení zásuvného modulu PowerFlex:	Windows: ● c:\Windows\System32\config\systemprofile\AppData\Roaming \VMware\scaleio\rollback.log Linux: ● /opt/.vmware/scaleio/rollback.log
Protokol vytvoření sítě plug-in PowerFlex:	Windows: ● c:\Windows\System32\config\systemprofile\AppData\Roaming \VMware\scaleio\networkCreation.log Linux: ● /opt/.vmware/scaleio/networkCreation.log
Protokol vSphere Virgo:	Windows: ● c:\ProgramData\Vmware\vSphere Web Client\serviceability\logsvsphere_client_virgo.logLinux: ● /storage/log/vmware/vsphere-client/logs/ vsphere_client_virgo.log
protokol perrcli/storcli:	Protokoly událostí

Správa a vyhledávání protokolů

Protokoly lze spravovat a získávat různými způsoby.

• Převrácení protokolu (REST):
  ○ V konfiguraci chování protokolu ( logback . xml – viz níže) je každý protokol definován tak, aby neměl větší než 10 MB. Jakmile dosáhne této velikosti, nový protokol file je vytvořen. Jakmile je dosaženo maxima (10), nejstarší protokol se přepíše (roll-over). Protokol files jsou: jméno _ xxx . log , jméno _ xxx . 1. log . zip , … jméno _ xxx . 1 . log . zi p.
• Konfigurace externího serveru Syslog:
  ○ Během instalace PowerFlex můžete použít PowerFlex Installer web klienta pro konfiguraci hlášení událostí Syslog. Tyto funkce můžete také nakonfigurovat po instalaci pomocí rozhraní CLI. Další informace naleznete v části „Viewudálosti“ na monitoru Dell PowerFlex.
• Konfigurace úrovní protokolování:
  ○ PowerFlex Gateway (REST) ​​– Protokol lze konfigurovat úpravou souboru file: < gatewayinstallationfo lder > \ webapps \ ROOT \ WEB – INF \ class \ logback . xml
  ○ PowerFlex Installer – Protokol lze konfigurovat úpravou souboru file: < gatewayinstallationfo lder > \ webapps \ ROOT \ WEB – INF \ class \ logback . xml
• vSphere Web Protokolování klienta
  ○ Chcete-li povolit protokolování ladění pro vSphere Web Klientský servis:
  POZNÁMKA: Udělejte si zálohu provozuschopnosti. xml file před jeho úpravou.
  1. Zastavte vSphere Web Klientský servis.
  2. Přejděte do konfigurační složky:
  ￭ Pro vCenter Server 6.x— C : \ Programová data \ VM ware \ v C zadejte Server \ runtime \ vsphereclient \ server \ konfigurace
  ￭ Pro vCenter Server Virtual Appliance 6.x— / usr / lib / vmware – vsphere – klient / server / konfigurace
  3. Otevřete obslužnost . xml file pomocí textového editoru.
  POZNÁMKA: Udělejte si zálohu provozuschopnosti. xml file před jeho úpravou.
  4. Upravte parametr protokolování na kořenové úrovni nahrazením výchozí INFO za DEBUG. Napřample, změnit provozuschopnost . xml výchozí konfigurace z:
  < rootlevel = ” INFO ” >
  < appender – refref = ” SIFTED _ LOG _ FILE ” > < / appender – ref >
  < appender – refref = ” LOG _ FILE ” > < / appender – ref >
  < / root >
  na:
  < rootlevel = ” DEBUG ” >
  < appender – refref = ” SIFTED _ LOG _ FILE ” > < / appender – ref >
  < appender – refref = ” LOG _ FILE ” > < / appender – ref >
  < / root >
  5. Chcete-li přidat sekci protokolování pro plugin PowerFlex, vytvořte sekci pro zvýšení úrovně protokolování na úrovně ladění:
  < loggerlevel = ” DEBUG ” additivity = ” false ” name = ” com. emc “>
  < appender – refref = ” SIFTED _ LOG _ FILE ” / >
  < appender – refref = ” Log _ FILE ” / >
  < / logger >
• Uložte a zavřete file.
• Spusťte vSphere Web Klientský servis. Další protokoly budou zapsány do složky C : \ Program Data \ VM ware \ v Sphere W eb C lient \ L ogs
• Funkce SRS (Secure Remote Support) – podpora SRS umožňuje bezpečné, vysokorychlostní, 24×7 vzdálené připojení mezi Dell a zákaznickými instalacemi, včetně:
  ○ Dálkové monitorování
  ○ Dálková diagnostika a opravy
  ○ Denní odesílání systémových událostí (výstup rsyslog), výstrah a topologie PowerFlex. Další informace naleznete v části „Provádění dalších konfiguračních aktivit SRS“ v části Konfigurace a přizpůsobení Dell PowerFlex.
• Viewmístní události – použijte showevents . py pomocí přepínačů filtrů k ovládání závažnosti výstrah. Další informace naleznete v části „Viewudálosti“ na monitoru Dell PowerFlex.
• Konfigurace pro externí nástroje pro správu protokolů, jako je envision—NA
• Konfigurace synchronizace času s externím zdrojem (např. přes NTP, Windows Time Service atd.)—NA
• Get Info—Získat informace vám umožní sestavit ZIP file systémových protokolů pro odstraňování problémů. Tuto funkci můžete spustit z místního uzlu pro jeho vlastní protokoly nebo pomocí instalačního programu PowerFlex k sestavení protokolů ze všech uzlů MDM a SDS v systému. Další informace naleznete v části „Načítání protokolů pro komponenty PowerFlex“ v technických poznámkách ke shromažďování protokolů PowerFlex.

Nastavení zabezpečení komunikace

Následující témata popisují nastavení zabezpečení systému PowerFlex. Nastavení zabezpečení komunikace umožňuje vytvoření bezpečných komunikačních kanálů mezi komponentami produktu a také mezi komponentami produktu a externími systémy nebo komponentami.

Zabezpečení replikace
K dispozici jsou nové funkce zabezpečení, které zajišťují bezpečné použití replikace PowerFlex.
Kromě toho se autentizace Challenge-Handshake Authentication Protocol (CHAP) používá pro autentizaci mezi všemi SDR každého peer systému v rámci každé ochranné domény. Tato autentizace je obousměrná. Autentizace je na úrovni sítě. Pokud se ověření nezdaří, síťový soket se nevytvoří a mezi dvěma SDR není žádné spojení. To také určuje autorizaci SDR k zápisu na jeho cílové svazky v rovnocenném systému.

Šifrovaná komunikace mezi MDM a MDM
Aby byla zajištěna bezpečnost mezi dvěma replikačními systémy, musí být komunikace správy mezi nimi šifrována.
Toho je dosaženo spuštěním komunikace mezi dvěma MDM clustery replikovaných systémů přes TLS 1.2. Aby bylo možné implementovat TLS, je nutné, aby oba clustery MDM měly certifikát MDM druhého clusteru. Musíte provést výměnu certifikátů mezi dvěma rovnocennými systémy. Bez této výměny certifikátů není možné nastavit replikační peer systémy. Jsou nutné následující kroky:
mezi dvěma rovnocennými systémy. Bez této výměny certifikátů není možné nastavit replikační peer systémy. Jsou nutné následující kroky:

1. Pomocí SCLI extrahujte kořenový certifikát na každém systému: scli – – extrahujte _ root _ ca – – certifikát _ soubor < FILE _ NAME >
2. Zkopírujte kořenové certifikáty do peer systému pomocí scp nebo jiného file způsob přenosu.
3.  Pomocí SCLI přidejte zkopírovaný certifikát jako důvěryhodný certifikát: scli – – add _ trusted _ ca – – certifikát _ soubor < FILE _ NAME > – – komentář < COMMENT (např . , Nme Of _ System ) >

Výměnu certifikátů mezi partnerskými systémy by měl provádět správce systému, který má root přístup ke všem uzlům MDM na obou partnerských systémech. Podrobné pokyny k provedení tohoto postupu jsou uvedeny v části „Úloha po nasazení“ v části Konfigurace a přizpůsobení Dell PowerFlex.

Ověření SDR na SDC
Kromě toho se pro autentizaci mezi SDR každého peer systému v rámci každé ochranné domény používá protokol CHAP (Challenge-Handshake Authentication Protocol). Tato autentizace je obousměrná. Autentizace je na úrovni sítě. Pokud se ověření nezdaří, síťový soket se nevytvoří a mezi dvěma SDR není žádné spojení. To také určuje autorizaci SDR k zápisu na jeho cílové svazky v rovnocenném systému.
POZNÁMKA: Přístup ke vzdálenému SDR neuděluje přístup ke svazkům spravovaným vzdáleným SDR, pokud nejsou určeny jako replikované zdrojovým SDR.

Ověření SDC
Tato funkce zajišťuje zabezpečení použitím autentizace SDC na základě protokolu CHAP (Challenge-Handshake Authentication Protocol) na MDM pro přístup k systému obecně a zvláště k mapovaným svazkům. To zabrání SDC v přístupu k neoprávněným svazkům. Jakmile je povoleno, SDC interně provádí vzájemné ověřování CHAP s SDS a SDR bez ručního zásahu.

Předpoklady
Povolte ověřování SDC podle následujících pravidel:

• na SDC musí být nainstalována verze 3.5 nebo novější
• Pro každý SDC MDM vygeneruje heslo pro ověřování CHAP
• Všechny SDC musí být nakonfigurovány pomocí jejich vygenerovaných hesel
• Spusťte příkaz – – check _ sdc _ authentication _ status, abyste zkontrolovali stav SDC a zda jsou připraveny k ověření.

O tomto úkolu
POZNÁMKA: Použití ověřování CHAP s SDC také znamená, že SDC může provádět I/O operace pouze na svazcích, které jsou na něj explicitně mapovány. SDS bude blokovat I/O operace SDC na nenamapovaných svazcích.
POZNÁMKA: Autentizace CHAP se také používá interně pro autentizaci I/O do SDS a SDR, je však vždy povolena a není řízena uživatelem.

Tento postup popisuje, jak povolit ověřování SDC.

Kroky

1. Získejte sdílené vygenerované heslo pro SDC z MDM pomocí příkazu:
   scli – – vygenerovat _ sdc _ heslo – – ( sdc _ id < ID > | sdc _ jméno < JMÉNO ) | sdc _ guid < GUID > | sdc _ ip < IP > ) [ – – důvod < REASON > ] Parametr důvodu (povinný) se používá k ověření, že heslo SDC se resetuje a nemění se náhodou. Důvod je uložen v protokolu událostí MDM.
   POZNÁMKA: SDC, která nejsou nakonfigurována s heslem, se po aktivaci funkce v kroku 3 odpojí.
   Zkopírujte heslo, které bylo vygenerováno v < SDC _ PASSWORD _ STRING >, použité v dalším kroku.
2. Na SDC spusťte následující příkaz:
   ● Linux:
   / opt / emc / scaleio / sdc / bin / drv _ cfg – – nastavit _ mdm _ heslo – – ip < MDM _ IP > – – heslo
   < SDC _ PASSWORD _ STRING > – – soubor / etc / emc / scaleio / drv _ cfg . txt
   POZNÁMKA: The file volba je vyžadována pro perzistenci hesla v případech, jako je restart služby scini nebo restart SDC. Otevřete file pro ověření, že < SDC _ PASSWORD _ STRING > je zaprotokolováno na konci řádku MDM.
   ● ESXi:
   A. cat / etc / vmware / esx . conf | grepscini | grepoptions
   Je vrácen řetězec představující všechny aktuálně nastavené konfigurační parametry ESXi. Zkopírujte řetězec s uvozovkami a vložte jej do textového editoru pro úpravy.
   b. Na konec řetězce přidejte následující text do uvozovek:
   I octl M dm P assword S tr = < MDM _ IP > – < MDM _ PASSWORD >
   kde:
   ○ je IP adresa MDM
   ○ je heslo MDM
   Napřampten:
   ” I octl I ni Guide S tr = cd 0 6 9 ce 3 – bf 2 a – 5 dea – b 5 0 a – 1 a 5 ebc 8 ef 3 de
   I octl M dm IPS tr = 1 9 2 . 1 6 9 . 2 1 7 . 1 6 5 , 1 7 2 . 1. 7 2 1 . 7 1 6 , 5 1 9 . 2 1 6 . 9 2 1 . 7 1 6 , 6 1 7 . 2. 1 7 2 . 1 7 1 , 6 6 1 . 9
   6 9 . 2 1 7 . 1 6 7 , 1 7 2 . 1. 7 2 1 . 7 1 6 I octl M dm P assword S tr = 7 1 9 . 2 1 6 . 9 2 1 . 7 1 6 – AQAAAAAAAAAD u /
   1 0 f XW 3 BS 1 w PBD gnk R 0 6 tdne G o UK 7 VQ “
   C. Spusťte následující příkaz s řetězcem připojeným na konec:
   esxclisystemmodulepar ametersset – mscini – p < STRING >
   Napřampten:
   esxclisystemmodulepar ametersset – mscini – p ” I octl I ni Guide S tr = cd 0 6 9 ce 3 b
   f 2 a – 5 dea – b 5 0 a – 1 a 5 ebc 8 ef 3 de
   I octl M dm IPS tr = 1 9 2 . 1 6 9 . 2 1 7 . 1 6 5 , 1 7 2 . 1. 7 2 1 . 7 1 6 , 5 1 9 . 2 1 6 . 9 2 1 . 7 1 6 , 6 1 7 . 2. 1 7 2 . 1 7 1 , 6 6 1 . 9
   6 9 . 2 1 7 . 1 6 7 , 1 7 2 . 1. 7 2 1 . 7 1 6 I octl M dm P assword S tr = 7 1 9 . 2 1 6 . 9 2 1 . 7 1 6 – AQAAAAAAAAAD u /
   1 0 f XW 3 BS 1 w PBD gnk R 0 6 tdne G o UK 7 VQ “
3. Chcete-li zkontrolovat připravenost SDC pro všechny SDC v systému, před povolením ověřování SDC spusťte následující příkaz:
   POZNÁMKA: Před spuštěním příkazu je důležité dokončit předchozí kroky pro všechny SDC. scli – – kontrola _ sdc _ autentizace _ stav [ – – spustit _ test ] [ – – soubor _ název < FILENAME > ] Kde:
   ● – – run _ test spustí test konektivity ke kontrole, zda se SDC mohou úspěšně ověřit pomocí CHAP
   ● – – název souboru < FILENAME > je úplný file název a cestu k vygenerované sestavě.
   Příkaz odešle zprávu, která obsahuje stav ověřovacího hesla SDC.
   POZNÁMKA: Při spuštění tohoto příkazu jsou SDC na velmi krátkou dobu odpojeny od MDM. Nepřeruší to spuštěné I/O ani to nebude mít žádný dopad na aktivitu MDM/SDC. Doporučuje se spouštět příkaz, když je systém ve zdravém stavu a ne během operací vyvažování nebo obnovy.
4. Chcete-li povolit ověřování SDC, spusťte následující příkaz:
   scli – – nastavit _ sdc _ autentizace – – povolit
5. Chcete-li zakázat ověřování SDC, spusťte následující příkaz:
   scli – – nastavit _ sdc _ autentizaci – – zakázat
6. Restartujte ESXi, aby se konfigurace projevila.

Výsledky
Ověření SDC je povoleno nebo zakázáno.
Související úlohy
Slušně restartujte hostitele ESXi

Slušně restartujte hostitele ESXi
Proveďte následující kroky k řádnému restartování hostitele ESXi.
Předpoklady

• Ujistěte se, že máte přihlašovací údaje hostitele ESXi.
• Ujistěte se, že máte práva správce pro přístup ke grafickému uživatelskému rozhraní PowerFlex.

Kroky

1. Přihlaste se do vCenter přes vSphere Web Klienta a vyhledejte příslušného hostitele ESXi.
2. Migrujte virtuální počítače přidružené k tomuto hostiteli ESXi na jiného hostitele ESXi.
   POZNÁMKA: Na view virtuální počítače přidružené k hostiteli ESXi, vyberte hostitele ESXi a poté klikněte na VM.
3. Přihlaste se do grafického uživatelského rozhraní PowerFlex jako uživatel správce.
4. V Backend > Úložiště view, vyberte Podle tabulky SDSs view.
5. Klepněte pravým tlačítkem myši na uzel SDS, který restartujete, a vyberte možnost Enter Maintenance Mode.
6. V okně Vstup do režimu údržby se ujistěte, že nedošlo k žádným chybám, a klepněte na tlačítko OK.
7. Po úspěšném dokončení operace klikněte na Zavřít.
   Zobrazí se IP adresa uzlu s klíčem vedle ní.
8. V uzlu ESXi přejděte do režimu údržby:
   A. Přihlaste se do vCenter přes klienta vSphere nebo Web klienta a vyhledejte příslušnou IP adresu ESXi.
   b. Vyberte SVM a v podokně Základní úlohy vyberte Vypnout virtuální počítač.
   C. Když je SVM vypnutý, klikněte pravým tlačítkem na uzel a vyberte možnost Vstup do režimu údržby.
9. Pěkně restartujte uzel pomocí příslušného rozhraní API pro operační systém.
10. Klepněte pravým tlačítkem myši na hostitele ESXi a vyberte Režim údržby > Vstup do režimu údržby.
11. Potvrďte kliknutím na OK.
12. Klikněte pravým tlačítkem na hostitele ESXi a vyberte Akce > Napájení > Restartovat pro restart hostitele.
13. Potvrďte kliknutím na OK.
14. Ujistěte se, že hostitel ESXi je zobrazen jako zapnutý a připojený v Hosts and Clusters view.
15. Klepněte pravým tlačítkem myši na uzel a vyberte Režim údržby > Ukončit režim údržby.
16. Rozbalte hostitele a vyberte příslušný virtuální počítač. Pokud se VM nezapne automaticky, zapněte jej ručně.
17. Po aktivaci uzlu se z internetového prohlížeče přihlaste do grafického uživatelského rozhraní PowerFlex jako uživatel správce.
18. Proveďte následující kontroly:
    A. V levém podokně klikněte na možnost Upozornění a v pravém podokně potvrďte, že se nezobrazí žádná zpráva o odpojení SDS.
    b. V levém podokně klikněte na SDC a potom v pravém podokně potvrďte, že stav připojení SDC je Ano.
    C. V levém podokně klikněte na Řídicí panel a ověřte, zda je systém v optimálním stavu.
19. V Backend GUI PowerFlex > Úložiště view, v tabulce Podle SDSs view, klepněte pravým tlačítkem na SDS a vyberte Exit Maintenance Mode.
20. V okně Akce klepněte na tlačítko OK.
21. Počkejte na dokončení operací vyrovnání.

Výsledky
Hostitel ESXi je nyní funkční a na uzlu lze spustit I/O aplikace. Virtuální počítače můžete migrovat zpět do uzlu.
Související úlohy
Ověření SDC

Využití portu a změna výchozích portů
Před instalací nebo upgradem PowerFlex se ujistěte, že porty uvedené v tabulce nejsou používány jinými procesy.
V následující tabulce jsou uvedeny porty používané PowerFlex.
Tabulka 4. Výchozí porty

Port používaný uživatelem	Přístav #	Protokol	File změnit	Pole, které chcete upravit (nebo přidat, pokud neexistuje)	Poznámky
MDM posluchač	6611	Proprietární (Protobuf) přes TCP	POZNÁMKA: Nelze upravit a musí být k dispozici
Člen MDM clusteru	9011	Proprietární (Protobuf) přes TCP	/opt/emc/ scaleio/mdm/cfg/ conf.txt	actor_c luster_ port=<N EW_POR T>
MDM peer připojení	7611	Proprietární (Protobuf) přes TCP	/opt/emc/ scaleio/mdm/cfg/ conf.txt	mdm_ext ernal_p ort=	Chcete-li změnit port přiřazený k rovnocennému systému MDM, nejprve změňte hodnotu pole mdm_external_port. Poté restartujte proces MDM. Nakonec spusťte příkaz —modify_replication_peer_system_port SCLI. Další informace o tomto příkazu naleznete v Referenční příručce Dell PowerFlex CLI.
SDS posluchač	7072	Proprietární protokol přes TCP	/opt/emc/ scaleio/sds/cfg/ conf.txt	tgt_por t=	SDC a SDR se připojují přes tento port pro datovou komunikaci a k ​​MDM pro metadatovou komunikaci.
SDR posluchač	11088	NEW_POR T	/opt/emc/ scaleio/sdr/cfg/ conf.txt	tgt_por t=	SDC se přes tento port připojují pro datovou komunikaci a k ​​MDM pro komunikaci metadat. POZNÁMKA: Příchozí a odchozí porty musí být povoleny.
Zdroj SDR do cílového SDR	11088	NEW_POR T	/opt/emc/ scaleio/sdr/cfg/ conf.txt	tgt_por t=	SDC se přes tento port připojují pro datovou komunikaci a k ​​MDM pro komunikaci metadat. POZNÁMKA: Příchozí a odchozí porty musí být povoleny. SDR spolu komunikují a posílají si replikovaná data přes TCP port 11088. Tento port musí být otevřen pro výstup v jakékoli bráně firewall na straně zdrojového systému a musí být otevřený pro vstup na straně cílového systému. Pokud se replikace provádí v obou směrech mezi dvěma systémy, pak musí být port 11088 otevřen ve firewallu pro výstup i pro vstup na obou stranách.
Posluchač LIA	9099	Proprietární (Protobuf) přes TCP	/opt/emc/ scaleio/lia/cfg/ conf.txt	lia_por t= _PORT>	Instalační program PowerFlex se připojuje k LIA a provádí operace související s instalací a údržbou.
PowerFlex Gateway – Installation Manager/REST (nezabezpečeno)	80 (nebo 8080 společně s 8443)	REST přes HTTPS	/conf/ catalina.propertie s	http.po rt=80 (nebo 8080)	Porty uvedené v závorkách jsou alternativní porty, ale lze je použít pouze v případě, že byly specifikovány během nasazení systému. Po změně portu musíte restartovat službu/démona brány PowerFlex: ● Linux: Spusťte restart služby scaleio-gateway ● Windows: Restartujte službu EMC ScaleIO Gateway POZNÁMKA: Pokud při nasazování brány PowerFlex Gateway není volný jeden z následujících portů, nasazení se nezdaří: 80, 8080, 443, 8443. Pokud k tomu dojde, uvolněte
					výše uvedené porty a poté znovu nasaďte bránu PowerFlex.
Prezentační server PowerFlex	8443	HTTPS a WSS	/etc/mgmt-server/.config/ mgmt-server	MGMT_SE RVER_OP TIONS=' https.p ort= '	Toto je port používaný k otevření a web  připojení k WebUI v prohlížeči. POZNÁMKA: Nedoporučuje se instalovat prezentační server PowerFlex a bránu PowerFlex na stejného hostitele kvůli konfliktu na portu 8443. Pokud je to nevyhnutelné, změňte port používaný pro prezentační server PowerFlex na 9443. Pokyny naleznete v části Nasazení Dell Průvodce PowerFlex.
SNMP	162	SNMP v2 přes UDP	/ webaplikace/ROOT/WEB- INF/classes/ gatewayUserPropert ies	snmp.po rt	Přes tento port jsou odesílány SNMP depeše pro systémová upozornění do přijímače depeší. Brána PowerFlex odesílá zprávy na adresu: snmp.traps_receiver_ip na portu snmp.port Pokud změníte číslo portu, restartujte bránu PowerFlex poté.
SDBG pro MDM (Manager)	25620				Používá se interními nástroji pro ladění PowerFlex k extrahování aktuálních informací ze systému pro účely ladění.
SDBG pro MDM (Tie Breaker)	25600
SDBG pro SDS	25640

Následující diagram znázorňuje komponenty a porty, které používají.

Nastavení zabezpečení komunikace

POZNÁMKA: Informace týkající se zabezpečení řadiče iDRAC naleznete v části „Informace o portu řadiče iDRAC“ v Uživatelské příručce řadiče iDRAC.

Síťové šifrování
Systém PowerFlex provádí síťové šifrování pro své různé komponenty.
Klient PowerFlex Installer, klient CLI, klient PowerFlex GUI, plug-in vSphere a PowerFlex Gateway (REST) ​​používají TLSv1.2
—po autentizaci probíhá komunikace mezi MDM a externími komponentami pomocí protokolů TLSv1.2 (Transport Layer Security). Stejná metoda se používá mezi klientem PowerFlex Installer a LIA. Další informace naleznete v části „Zabezpečení“ v části Konfigurace a přizpůsobení Dell PowerFlex.
Ověření certifikátu PowerFlex Gateway (REST) ​​– ovladač OpenStack PowerFlex komunikuje s PowerFlex Gateway prostřednictvím https (přes TLSv1.2). Ve výchozím nastavení ovladač ignoruje ověření certifikátu TLSv1.2 brány PowerFlex Gateway, ale může certifikát ověřit, pokud jsou definovány následující konfigurační parametry:

• ověřit _ server _ certifikát — nastavte na hodnotu Pravda, pokud musí být ověřen certifikát serveru, a na hodnotu F alse, pokud ověření není vyžadováno.
• cesta k serveru _ certifikát _ – Pokud je parametr ověřovat _ certifikát serveru _ nastaven na hodnotu Pravda, zadejte umístění souboru . pem file obsahující certifikát serveru.
  Pokyny pro generování certifikátu s vlastním podpisem pomocí nástroje Keytool naleznete v části „Vygenerování certifikátu podepsaného svým držitelem pomocí nástroje keytool“ v části Nasazení Dell PowerFlex .
  Pro použití s ​​vaším systémem jsou schváleny následující metody šifrování:
• Šifry podporované MDM:
  ○ TLS_RSA_WITH_AES_128_GCM_SHA256
  ○ TLS_RSA_WITH_AES_256_GCM_SHA384
• Šifry podporované bránou PowerFlex (do MDM):
  ○ TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  ○ TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  ○ TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  ○ TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  ○ TLS_RSA_WITH_AES_256_GCM_SHA384
  ○ TLS_RSA_WITH_AES_128_GCM_SHA256
• Šifry podporované prezentačním serverem PowerFlex (do MDM):
  ○ TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  ○ TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  ○ TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  ○ TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  ○ TLS_RSA_WITH_AES_256_GCM_SHA384
  ○ TLS_RSA_WITH_AES_128_GCM_SHA256
  ○ TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  ○ TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  ○ TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  ○ TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  ○ TLS_RSA_WITH_AES_256_GCM_SHA384
  ○ TLS_RSA_WITH_AES_128_GCM_SHA256

Odeberte TLSv1.0/1.1 z parametru sslEnabledProtocols
PowerFlex Gateway nepodporuje TLSv1.0/1.1.

Kroky

1. Ze stroje PowerFlex Gateway přejděte na:
   ● Linux: / opt / emc / scalio / brána / conf
   ● Windows: C : \ Programové soubory \ EMC \ S cale IO \ G teway \ conf
2. Otevřete server. xml file a vyhledejte ssl E nabled P rotocol s.
3. Smazat TLS v 1. 0 nebo TLS v 1. 1 a uložte file.
4. Chcete-li restartovat službu PowerFlex Gateway, spusťte:
   ● Linux: servicescaleio – restart brány
   ● Windows: Restartujte službu PowerFlex Gateway

Povolit kompatibilitu s OpenSSL FIPS
Povolte implementaci shody OpenSSL Federal Information Processing Standards (FIPS) v MDM pro komunikaci mezi externími komponentami, včetně PowerFlex GUI, PowerFlex Gateway a CLI, s MDM.
Je také povoleno pro jakékoli jiné použití knihovny OpenSSL.

Předpoklady
MDM musí být hostován v systému Linux s nainstalovaným balíčkem OpenSSL.
Kroky

1. Na každém hostiteli, na kterém běží PowerFlex, otevřete konfiguraci file každé komponenty pomocí textového editoru.
   Konfigurace file je / opt / emc / scaleio / < COMPONENT > / cfg / conf . txt, kde je název součásti tvořený malými písmeny (např. „sds“).
2. Přidejte parametr security _ enable _ fips = 1 do file.
3. Uložte a zavřete file
4. Otevřete konfiguraci SCLI file s textovým editorem:
   Konfigurace file se nachází na adrese: ~ / . scli / conf . tx t.
5. Přidejte parametr security _ enable _ fips = 1 do file.
6. Uložte a zavřete file.
7. Na každém hostiteli restartujte službu každé součásti:
   servicescaleio – < COMPONENT > restart
8. Ověřte povolení FIPS
   A. Aktualizujte zavaděč GRUB tak, aby zahrnoval fips=1
   Viz následující exampten:
   cat / etc / default / grub | grep GRUB _ CMDLINE _ LINUX =
   GRUB _ CMDLINE _ LINUX = ” crashkernel = autord. lvm lv = vg _ os / rootrd . lvm lv = vg _ os / swaprhgb
   quietfips = 1”
   b. Aktualizujte konfiguraci GRUB
   grub 2 – mkconfig – o / boot / grub 2 / grub . cfg
   C. Aktualizovat Initrd
   dracut – f
   d. Restartujte uzel po zadání IMM/PMM, aby byl aktivní
9. Ověřte, zda byla povolena kompatibilita s OpenSSL FIPS spuštěním:
   cat / proc / sys / crypto / fips _ povoleno
   Pokud byl povolen správně, výstup by měl být 1. Pokud výstup není 1, povolte OpenSSL FIPS na úrovni operačního systému.

Spouštění skriptů na hostitelích

PowerFlex lze použít ke spouštění skriptů poskytovaných uživateli na serverech založených na Linuxu, které hostují komponenty MDM nebo SDS.

Spouštění skriptů na hostitelích
PowerFlex lze použít ke spouštění skriptů poskytovaných uživateli na serverech hostujících komponenty MDM nebo SDS. Tato funkce je podporována pouze na uzlech založených na Linuxu.
Instalační program PowerFlex lze použít ke spuštění skriptu poskytnutého uživatelem na hostiteli, kde je nasazen PowerFlex. Tuto funkci lze použít pro jakýkoli účel mimo systém PowerFlex, jako je spouštění sady příkazů prostředí Linux, záplatování operačního systému a další. Tato funkce umožňuje spouštění skriptů bezpečným způsobem, a to jak z hlediska bezpečnosti, tak z hlediska integrity dat. Umožňuje také lepší zabezpečení systému a lepší správu životního cyklu.
Jako bezpečnostní opatření nejsou skripty automaticky distribuovány do každého uzlu instalačním programem PowerFlex. Po ověření, že je skript důvěryhodný, musí uživatel správce ručně zkopírovat skript do každého uzlu, kde je skript vyžadován.
Instalační program PowerFlex řídí běh skriptu a zajišťuje, že SDS jsou umístěny v režimu údržby, aby byla během procesu chráněna data. Kromě toho je paralelní provádění skriptů povoleno pouze na SDS umístěných v různých ochranných doménách.
Po spuštění skriptů na SDS opustí režim údržby.
Volitelně lze servery nastavit tak, aby se po provedení skriptu restartovaly. Proces může také spustit ověřovací skript buď po restartu, nebo po spuštění skriptu, když není restart vyžadován.
Podrobnosti o tom, jak spustit skript na jednom nebo více hostitelích, najdete v části Konfigurace a přizpůsobení Dell PowerFlex.

Známé bezpečnostní problémy

Tato část uvádí známé problémy se zabezpečením a náhradní řešení.

Problémy s Lockboxem po upgradu OS
Po upgradu OS nemusí být Lockbox přítomen nebo může ztratit obsah.
Problém
Po upgradu operačního systému se mohou změnit systémové stabilní hodnoty (SSV), které Lockbox používá k otisku prstu systému, jehož je součástí. Jinými slovy, Lockbox nemusí být přítomen nebo může ztratit obsah po aktualizaci OS.
Rezoluce
Chcete-li aktualizovat nebo překonfigurovat Lockbox:

1. Otevřete Lockbox pomocí hesla, které bylo použito k jeho vytvoření.
2. Překonfigurujte Lockbox.
   POZNÁMKA: Pokud Lockbox není k dispozici, vytvořte znovu Lockbox pomocí příkazu:
   / opt / emc / scaleio / gateway / bin / FOSGWT ool . sh – – nastavit vlastnosti _ ldap _ – – server _ url
   ldap : / / < LDAPSERVERIP > – – základ _ dn ” < BASE _ DN > ” – – název skupiny ” < GROUPNAME > ” – c
   reate _ default _ lockbox
   Uživatelé LDAPS musí používat: ldaps : / / < LDAPSERVERIP >
   místo ldap : / / v example výše.

Nesprávná oprávnění složky na SVM
Uživatel chrony se používá pro konfiguraci NTP pomocí sady chrony. Uživatel má nesprávná oprávnění pro složku / var / lib / chrony , což může vést k bezpečnostním chybám.
O tomto úkolu
Na SVM má domovský adresář chrony uživatele režim oprávnění více tolerantní než 750 (Vlastník=ČÍT/ZAPIS/PROVÁDĚT, Skupina=ČÍT/PROVÁDĚT, Jiné=ŽÁDNÉ). To může umožnit uživateli se zlými úmysly získat přístup k uživatelským datům eskalací oprávnění. Režim oprávnění pro „Jiné“ by měl mít vždy vypnuté „READ“ a „EXECUTE“. Postup opravy režimu oprávnění:

Kroky

1. Pro přihlášení do SVM použijte root přihlášení.
2. Ručně spusťte následující příkaz: chmod 7 5 0 / var / lib / chrony

Výsledky
Režim oprávnění pro složku je zabezpečený.

Deaktivace IPMI
Pokud nepoužíváte IPMI přes LAN pro monitorování nebo správu pomocí nástrojů třetích stran, deaktivujte IPMI na všech uzlech v systému, abyste odstranili zranitelnost zabezpečení.

Zakažte IPMI na serveru R630/R730xd
Pomocí následujícího postupu deaktivujete IPMI na uzlech PowerFlex R630/R730xd.
O tomto úkolu
Tento postup můžete spustit kdykoli po nasazení.
Předpoklady
Ujistěte se, že:

• Máte síťové připojení k serveru.
• Znáte IP adresu portu iDRAC.
• Znáte heslo pro přístup k iDRAC jako root). V případě potřeby vám může zákazník předat přihlašovací údaje.

Kroky

1. Otevřete novou relaci prohlížeče a přihlaste se k iDRAC.
2. V nabídce vlevo klikněte na Nastavení iDRAC > Síť.
3. V horní nabídce stránky Síť klikněte na Nastavení IPMI.
   Stránka přejde do oblasti nastavení IPMI.
4. Ve sloupci Hodnota zrušte zaškrtnutí políčka Povolit IPMI přes LAN a klepněte na tlačítko Použít.
   Stránka Síť se obnoví.
5. V horní nabídce klikněte znovu na Nastavení IPMI a poté se ujistěte, že políčko Povolit IPMI přes LAN není zaškrtnuté.
6. Odhlaste se z řadiče iDRAC.
7. Opakujte výše uvedené kroky na každém uzlu R630/R730xd v systému.

Zakažte IPMI na serveru R640/R740xd/R840
Pomocí následujícího postupu deaktivujete IPMI na uzlech PowerFlex R640/R740xd/R840.

O tomto úkolu
Tento postup můžete spustit kdykoli po nasazení.
Předpoklady
Ujistěte se, že:

• Máte síťové připojení k serveru.
• Znáte IP adresu portu iDRAC.
• Znáte heslo pro přístup k iDRAC jako root). V případě potřeby vám může zákazník předat přihlašovací údaje.

Kroky

1. Otevřete novou relaci prohlížeče a přihlaste se k iDRAC.
2. V hlavní nabídce klikněte na Nastavení iDRAC > Připojení.
3. Na kartě Připojení vyberte Síť > Nastavení IPMI.
   Zobrazí se nastavení konfigurace IPMI.
4. Změňte možnost Povolit IPMI přes LAN na Zakázáno a potom klikněte na Použít.
5. Ve zprávě o úspěchu klepněte na tlačítko OK.
6. Odhlaste se z řadiče iDRAC.
7. Opakujte výše uvedené kroky na každém uzlu R640/R740xd/R840 v systému.

Nasazení PowerFlex s SELinux

PowerFlex nepodporuje nativní nasazení v operačním systému nakonfigurovaném pomocí Security-Enhanced Linux (SELinux) v režimu vynucení. Před nasazením systému je proto nutné dodržet předpoklady a dodržovat pokyny pro přípravu. Tyto pokyny platí také pro stávající systém, který se přesouvá do režimu vynucování SELinux.
POZOR: Pokud si nejste jisti, zda byly všechny ostatní procesy nakonfigurovány pomocí zásad SELinux, nepovolujte SELinux v režimu vynucení. Požádejte o pomoc správce systému.

Další informace o SELinux naleznete v části https://www.redhat.com/en/topics/linux/what-is-selinux.

Předpoklady SELinux
Následující balíčky jsou předpoklady pro Security-Enhanced Linux (SELinux).

Tabulka 5. Předpoklady SELinuxu

Balík	Popis
policycoreutils	Poskytuje nástroje pro správu SELinuxu
selinuxová politika	Poskytuje referenční politiku SELinux
selinux-policy-targeted	Poskytuje cílenou politiku SELinux
libselinux	Poskytuje konfigurační příkazy SELinux
libselinux-utils	Poskytuje konfigurační příkazy SELinux
policycoreutils-python	Vyžadováno k povolení příkazu semanage
policycoreutils-devel	Poskytuje možnosti odstraňování problémů v případě, že dojde k problému

Stáhněte a zkopírujte ZIP modulu SELinux file
Zpočátku je vyžadováno, aby správce stáhl bezpečnostní zásady systému Linux (SELinux) pro PowerFlex do příslušných operačních systémů.

Kroky

1. Stáhněte si nejnovější verzi file Napájení F lex _ SEL inux _ DDMMRRRR . zip z: https://www.dell.com/support/home/en-us/product-support/product/scaleio/drivers
2. Na všech relevantních uzlech vytvořte složku s názvem / var / P power F lex _ SEL inux /.
   Použijte příkaz:
   mkdir / var / P power F lex _ SEL inux /
   Příslušné uzly jsou:
   ● MDM
   ● SDS
   ● SDR (pokud se používá; zahrnuje příslušná pravidla pro LIA)
   ● SDC
   ● LIA
   ● Brána PowerFlex
   ● Prezentační server PowerFlex
3. Zkopírujte nebo přeneste P power F lex _ SEL inux _ DDMMYYYY . zip file do uzlů, které budou použity pro PowerFlex.
4. Na každém uzlu proveďte následující:
   A. Změňte adresář na složku, kterou jste vytvořili:
   cd / var / P power F lex _ SEL inux /
   b. Rozbalte file:
   tar – xvf P power F lex _ SEL inux _ DDMMYYYY . zip

Ověřte, že je povolen SELinux
Ověřte, zda je na všech relevantních uzlech a operačních systémech povolena funkce Security-Enhanced Linux (SELinux).

Kroky

1. Spusťte následující příkaz na všech uzlech a zkontrolujte stav SELinux:
   stav
   Očekávaný výstup, pokud je povolen SELinux a nastaven na režim vynucení:
   SEL inuxstatus: povoleno
   SEL inuxfsmount : / sys / fs / selinux
   SEL inuxrootdirectory : / etc / selinux
   L loadedpolicyname : targeted
   Aktuální režim: vynucování
   Režim z konfiguračního souboru: vynucování
   Zásady Stav MLS: povoleno
   P olicydeny _ neznámý stav : povoleno
   Verze zásad maximálního jádra: 3 1
   Očekávaný výstup, pokud je SELinux zakázán:
   SEL inuxstatus: zakázáno
2. Pokud je SELinux zakázán, postupujte podle pokynů pro příslušný operační systém a povolte jej.
   Napřample, pro CentOS jsou kroky:
   A. Spusťte příkaz:
   b . vi / etc / selinux / config
   b. Podle potřeby změňte řadu SELINUX na vynucovací nebo permisivní:
   SELINUX = vynucování
   . . .
   SELINUXTYPE = cílené
   C. Naplánujte restart operačního systému.
   POZOR: Pokud tento proces běží na předem nasazeném systému PowerFlex, postupujte podle pokynů pro elegantní vypnutí a restartujte uzel s MDM\SDS\SDR\SDC. Podívejte se na „Vypnutí nebo restartování uzlu“ Upgrade Dell PowerFlex odpovídající verzi vašeho systému.

Načtěte modul PowerFlex SELinux
Načtěte modul PowerFlex Security-Enhanced Linux (SELinux) a připravte se na jeho nasazení nebo spuštění v systému.

Kroky

1. Ujistěte se, že jste ve správné složce pro SELinux, pomocí příkazu:
   pwd
   Předpokládané umístění: / var / P power F lex _ SEL inux /
   V případě potřeby přejděte do složky.
2. Chcete-li načíst zásady a další nastavení bez dopadu na nasazený systém, spusťte následující příkaz a nastavte aktuální stav SELinuxu na Permisivní stav:
   setenforce 0
3. Spuštěním následujícího příkazu načtěte modul SELinux:
   semodul – idell – vxflex . pp – vv
   Očekávaný výsledek:
   Pokus o instalaci modulu dell – vxflex . pp':
   O k : návratnost 0 .
   P opuštěnízměn:
   O k: číslo transakce 0
4. Spusťte následující příkaz:
   restorecon – RF / opt / emc
   Tento příkaz opraví všechny chybějící štítky ve všech adresářích a files in / opt / em c.
5. Nakonfigurujte porty PowerFlex v SELinux:
   POZNÁMKA: Příkazy spouštějte pouze na příslušném uzlu. NapřampPokud je prezentační server PowerFlex nebo brána PowerFlex na samostatném uzlu, nepovolujte porty MDM, SDS, SDR nebo LIA.
   Relevantní informace o portech naleznete v části „Využití portu a změna výchozích portů“ v Příručce zabezpečení PowerFlex odpovídající verzi PowerFlex, kterou používáte.
   Pokud byla změněna výchozí nastavení portů pro jakýkoli proces, aktualizujte odpovídajícím způsobem níže uvedený příkaz (napřample, pro port https prezentačního serveru PowerFlex).
   / usr / sbin / semanageport – N – a – tvxflex _ mdm _ port _ t – ptcp 2 5 6 2 0 ;
   / usr / sbin / semanageport – N – a – tvxflex _ mdm _ port _ t – ptcp 9 0 1 1 ;
   / usr / sbin / semanageport – N – a – tvxflex _ mdm _ port _ t – ptcp 6 6 1 1 ;
   / usr / sbin / semanageport – N – a – tvxflex _ mdm _ port _ t – ptcp 7 6 1 1 ;
   / usr / sbin / semanageport – N – a – tvxflex _ mdm _ port _ t – ptcp 2 5 6 0 0 ;
   / usr / sbin / semanageport – N – a – tvxflex _ lia _ port _ t – ptcp 9 0 9 9 ;
   / usr / sbin / semanageport – N – a – tvxflex _ sdr _ port _ t – ptcp 1 1 0 8 8 ;
   / usr / sbin / semanageport – N – a – tvxflex _ sds _ port _ t – ptcp 7 0 7 2 ;
   / usr / sbin / semanageport – N – a – tvxflex _ sds _ port _ t – ptcp 2 5 6 4 0 ;
   / usr / sbin / semanageport – N – a – tvxflex _ brána _ port _ t – ptcp 4 4 3 ;
   / usr / sbin / semanageport – N – a – tvxflex _ brána _ port _ t – ptcp 8 0 8 0 ;
   POZNÁMKA: Porty 443 a 8080 jsou obvykle v SELinuxu standardně povoleny a mohou vrátit následující chybu:
   Chyba hodnoty: P orttcp / 4 4 3 již definováno
   Chyba hodnoty: P orttcp / 8 0 8 0 již definováno
   V tomto případě pokračujte. Toto je platná chyba.
   / usr / sbin / semanageport – N – a – tvxflex _ mgmt _ port _ t – ptcp 8 4 4 3 ;
   / usr / sbin / semanageport – N – a – tvxflex _ mgmt _ port _ t – ptcp 8 0 8 0 ;
6. Spusťte následující příkaz:
   setenforce 1
   Tento příkaz změní stav SELinuxu na cílový stav pro aktuální dobu běhu.
7. Opakujte výše uvedené kroky na všech uzlech, které poběží se SELinuxem.

Výsledky
Příprava operačního systému na všech uzlech pro PowerFlex běžící v SELinuxu je nyní dokončena. Pokračujte v nasazení nebo pokračujte v používání systému, pokud je již nasazen.

Odstraňte problémy se SELinuxem s PowerFlex
Při odstraňování problémů se systémem Security-Enhanx Linux (SELinux) s PowerFlex se ujistěte, že se problémy týkají PowerFlex.
O tomto úkolu
Tento postup vyžaduje přesunutí příslušných uzlů z režimu vynucování SELinux do režimu povolení. Chcete-li se později vrátit do režimu vynucení, použijte příkaz setenforce 1.

Kroky

1. Změňte režim příslušných uzlů z režimu vynucování SELinux na režim povolení:
   setenforce 0
2. Pokud problém zmizí v permisivním režimu, zůstaňte v tomto režimu a spusťte následující příkazy:
   semodul – l | grepvxflex
   audit 2 umožnit – a
   semanageport – l | grepvxflex
3. Uložte výstup do file, pro sdílení při otevření tiketu zákaznické podpory.
4. Zazipujte složku / var / log / audit / a sdílejte ji file v lístku podpory.
   Ve vzácných případech vás může pracovník podpory požádat o změnu protokolování SELinux na vyšší úroveň pomocí tohoto příkazu: “
   semodul
   – DB
   To může vyžadovat opakování neúspěšné operace s tímto nastavením povoleným. Po shromáždění informací spusťte následující příkaz a vraťte se na standardní úroveň protokolování:
   semodul
   – B
   Informace o odstraňování problémů naleznete v následujícím textu: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/using_selinux/troubleshooting-problems-related-to-selinux_using-selinux.

Nasazení PowerFlex s SELinux

Dokumenty / zdroje

Konfigurace zabezpečení DELL V36X Power Flex [pdfUživatelská příručka Konfigurace zabezpečení V36X Power Flex, V36X, Konfigurace zabezpečení Power Flex, Konfigurace zabezpečení Flex, Konfigurace zabezpečení, Konfigurace

Reference

• Uživatelská příručka