強化されたリポジトリのセキュリティを強化するためのヒント

リポジトリのセキュリティを最大化し、さまざまな攻撃からデータを保護するには、以下のヒントに従うことをお勧めします。

  • Linuxサーバーで認証証明書のファイル権限を変更すると、root以外のユーザーはVeeamデータムーバーに接続できなくなります。

次のコマンドを使用します。

  • フォルダを作成するには

mkdir -p / opt / veeam / Transportation / certs

  • フォルダの所有者を変更するには:

chown owner:group / opt / veeam / Transportation / certs

所有者グループ両方が、Linuxサーバーへの接続に使用する予定のアカウントにすることができます。

  • rootアカウントおよびVeeamデータムーバーが機能するアカウントのフォルダーへのアクセスを許可するには:

chmod 700 / opt / veeam / Transportation / certs

chmod 770を使用して、同じ権限をグループに追加することもできます

強化リポジトリには永続的なVeeamデータムーバーが必要であることに注意してください。Veeamデータムーバーを永続化するには、Linuxサーバーをバックアップインフラストラクチャに追加するときに、root権限と同等のアカウントを指定する必要があります。

重要

Veeamデータムーバーの導入中に、Linuxサーバーへの接続に使用する予定のアカウントには、認証証明書が保存されているフォルダーに対する読み取りおよび書き込みのアクセス権限が必要です。umaskコマンドの値が022より制限されていないことを確認してください。詳細については、こちらのVeeamナレッジベースの記事を参照してください

セキュリティを目的として、Veeamデータムーバーの権限は減少されます。SSH接続は、Linuxのホストに対するVeeamデータムーバーの導入でのみ必要です。Veeamデータムーバーを導入した後、SSHを無効にして、バックアップインフラストラクチャコンポーネントが認証にサーバー証明書とクライアント証明書を使用できるようにすることができます。

  • キー変更攻撃を防ぐために、 Veeam Backup & Replicationサーバーとは別のサーバーにVeeam Backup Enterprise Manager導入します。不正アクセスによりパスワードが失われた場合でも、Enterprise Managerを使用して失われたデータをリストアできます。詳細については、「パスワードを使用しないデータの復号化」を参照してください。