增强强化存储库安全性的建议
在本页面
我们建议您按照以下建议操作,以最大限度地提高存储库安全性和保护数据免遭不同攻击:
- Linux服务器上身份验证证书的更改文件权限,不受欢迎的非根用户无法连接到Veeam Data Mover。
使用以下命令:
- 创建文件夹:
mkdir -p/opt/veeam/transport/certs |
- 更改文件夹的所有者:
chown所有者:group/opt/veeam/transport/certs |
所有者和组都可以是您计划用于连接到Linux服务器的帐户。
- 要允许访问根帐户和Veeam Data Mover功能帐户,请执行以下操作:
chmod 700/opt/veeam/transport/certs |
您还可以使用chmod 770将相同权限添加到组。
请记住,强化的存储库需要持久的Veeam Data Mover 。为使Veeam Data Mover具有持久性,在将Linux服务器添加到备份基础架构时,您必须指定一个等效于根权限的帐户。
重要提示 |
在部署Veeam Data Mover的过程中,您计划用于连接Linux服务器的帐户需要对存储身份验证证书的文件夹具有读写权限。确保umask命令值的限制不超过022 。更多信息,请参见Veeam KB文章。 |
出于安全目的, Veeam Data Mover的权限有所减少:只有将Veeam Data Mover部署到Linux服务器时,才需要SSH连接。部署Veeam Data Mover后,您可以禁用SSH,以便备份基础架构组件使用服务器和客户端证书进行身份验证。
- 在不同于Veeam Backup & Replication服务器的服务器上部署Veeam Backup Enterprise Manager ,以防止密钥变化攻击。即使因未授权访问而丢失密码,您也可借助Enterprise Manager恢复丢失的数据。更多信息,请参见不使用密码解密数据。