增强强化存储库安全性的建议

在本页面

    我们建议您按照以下建议操作,以最大限度地提高存储库安全性和保护数据免遭不同攻击:

    • Linux服务器上身份验证证书的更改文件权限,不受欢迎的非根用户无法连接到Veeam Data Mover。

    使用以下命令:

    • 创建文件夹:

    mkdir -p/opt/veeam/transport/certs

    • 更改文件夹的所有者:

    chown所有者:group/opt/veeam/transport/certs

    所有者可以是您计划用于连接到Linux服务器的帐户。

    • 要允许访问根帐户和Veeam Data Mover功能帐户,请执行以下操作:

    chmod 700/opt/veeam/transport/certs

    您还可以使用chmod 770将相同权限添加到组。

    请记住,强化的存储库需要持久的Veeam Data Mover 。为使Veeam Data Mover具有持久性,在将Linux服务器添加到备份基础架构时,您必须指定一个等效于根权限的帐户。

    重要提示

    在部署Veeam Data Mover的过程中,您计划用于连接Linux服务器的帐户需要对存储身份验证证书的文件夹具有读写权限。确保umask命令值的限制不超过022 。更多信息,请参见Veeam KB文章

    出于安全目的, Veeam Data Mover的权限有所减少:只有将Veeam Data Mover部署到Linux服务器时,才需要SSH连接。部署Veeam Data Mover后,您可以禁用SSH,以便备份基础架构组件使用服务器和客户端证书进行身份验证。

    • 在不同于Veeam Backup & Replication服务器的服务器上部署Veeam Backup Enterprise Manager ,以防止密钥变化攻击。即使因未授权访问而丢失密码,您也可借助Enterprise Manager恢复丢失的数据。更多信息,请参见不使用密码解密数据