Компания IBM
Опубликован: 01.02.2008 | Доступ: свободный | Студентов: 612 / 22 | Оценка: 4.60 / 4.40 | Длительность: 43:55:00
Специальности: Разработчик аппаратуры
Лекция 9:

Безопасность кластера

Настройка шифрования сообщений

Основные этапы конфигурирования:

  1. Установка требуемого модуля шифрования RSCT.
  2. Включение автоматического распространения ключей (только при автоматическом распространении ключей).
  3. Включение аутентификации и шифрования сообщений.
  4. Генерирование и распространение ключей.
  5. Активизация ключей.
  6. Синхронизация кластера.
  7. Отключение автоматического распространения ключей (только при автоматическом распространении ключей).

В целях безопасности рекомендуется использовать распространение ключей вручную.

Выполнение команд всегда следует осуществлять с одного и того же узла, за исключением этапов 2 и 7, требующих выполнения на всех узлах.

Важно!
  • Убедитесь, что параметры аутентификации и шифрования согласованы по всему кластеру. Все узлы должны содержать одинаковые файлы ключей. В противном случае HACMP не сможет осуществлять обмен данными с другими узлами.
  • Во время настройки шифрования сообщений в кластере не выполняйте какиелибо другие задачи конфигурирования HACMP.
  • Убедитесь, что ваш кластер находится в рабочем состоянии, что в нем недавно выполнялись процедуры синхронизации и верификации и что узлы могут осуществлять связь друг с другом.
  1. Обязательные условия. Следует установить требуемую библиотеку шифрования с диска AIX 5L Expansion Pack CD. Используя smit install_latest, установите следующие наборы файлов:
    • rsct.crypt.des – для использования md5_des;
    • rsct.crypt.3des – для применения md5_3des;
    • rsct.crypt.aes256 – для использования md5_aes.
    • Если кластер уже работает, необходимо перезапустить clcomd:
      stopsrc -s clcomdes
      	startsrc -s clcomdes
  2. Включение автоматического распространения ключей на всех узлах. (Этот этап следует выполнять, только если требуется использовать автоматическое распространение ключей.):
    1. перейдите в SMIT HACMP Cluster Security (Безопасность кластера HACMP): запустите smit;
      • выберите Communications Applications and Services (Коммуникационные приложения и службы);
      • выберите HACMP for AIX (HACMP для AIX);
      • выберите System Management (C-SPOC);
      • выберите HACMP Security and Users Management (Безопасность и управле ние пользователями HACMP);
      • выберите HACMP Cluster Security (Безопасность кластера HACMP) либо ис пользуйте быстрый путь smit cm_config_security;
    2. выберите Configure Message Authentication Mode and Key Management (Конфигурирование режима аутентификации сообщений и управления ключами);
    3. выберите Enable/Disable Automatic Key Distribution (Включение-отклю чение автоматического распространения ключей);
    4. установите для параметра Enable/Disable Automatic Key Distribution (Включение-отключение автоматического распространения ключей) значе ние Enabled (рис. 9.1);
    5. нажмите Enter для подтверждения. Повторите эти действия на всех узлах.
  3. Включение или изменение метода аутентификации и шифрования сообщений:
    1. перейдите в SMIT HACMP Cluster Security (Безопасность кластера HACMP); выполните smit cm_config_security;
      Включение автоматического распространения ключей

      Рис. 9.1. Включение автоматического распространения ключей
    2. выберите Configure Message Authentication Mode and Key Management (Конфигурирование режима аутентификации сообщений и управления ключами);
    3. выберите Configure Message Authentication Mode (Конфигурирование режима аутентификации сообщений);
    4. нажмите F4 и в разделе Message Authentication Mode (Режим аутентифи кации сообщений) выберите требуемый режим аутентификации (рис. 9.2):
      • md5_des,
      • md5_3des,
      • md5_aes,
      • None: не использовать ни аутентификацию, ни шифрование сообщений;
    5. установите в поле Enable Encryption (Включить шифрование) значение Yes (Да);
    6. нажмите Enter.
  4. Генерирование и распространение ключей.
    1. перейдите в SMIT HACMP Cluster Security (Безопасность кластера HACMP): выполните smit cm_config_security.
      Конфигурирование режима аутентификации сообщений

      Рис. 9.2. Конфигурирование режима аутентификации сообщений
    2. выберите Configure Message Authentication Mode and Key Management (Конфигурирование режима аутентификации сообщений и управления ключами).
    3. выберите Generate/Distribute a Key (Сгенерировать/распространить ключ).
    4. нажмите F4 и выберите Type of Key to Generate (Тип генерируемого клю ча). Здесь следует выбрать такой же ключ, как и на этапе 3, "Включение или измене ние метода аутентификации и шифрования сообщений" (рис. 9.3).
    5. выберите Distribute a Key (Распространить ключ):
      • Yes (Да): при использовании автоматического распространения ключей;
      • No (Нет): при использовании распространения ключей вручную.
    6. Нажмите Enter.
      Генерирование ключа

      Рис. 9.3. Генерирование ключа
      Если выбрано автоматическое распространение ключей, то следует перейти к ша гу 5, "Активизация ключа". Теперь скопируйте файл ключа с этого узла на другие узлы. Можно использовать любой метод передачи, но мы рекомендуем применять один из следующих способов:
      • SCP. Утилита защищенного зашифрованного удаленного копирования. Пример:
        scp /usr/es/sbin/cluster/etc/key_md5_aes \
        node2:/usr/es/sbin/cluster/etc/key_md5_aes
      • Дискета. Следует скопировать соответствующий файл ключа из каталога /usr/es/sbin/cluster/etc на дискету. Затем следует скопировать файл с дискеты на все узлы. Если у вас уже есть файл ключа, просто замените его новым файлом ключа. Будьте осторожным с файлом ключа: не пересылайте его через сеть в незашифрованном виде (например, не следует использовать ftp или rcp) и обязательно установите для него разрешение 0400.
  5. Активизация ключа:
    1. перейдите в SMIT HACMP Cluster Security (Безопасность кластера HACMP): выполните smit cm_config_security;
    2. выберите Configure Message Authentication Mode and Key Management (Конфигурирование режима аутентификации сообщений и управления ключами);
    3. выберите Activate the new key on all HACMP cluster nodes (Активизировать новый ключ на всех узлах кластера HACMP);
    4. еще раз нажмите Enter для подтверждения.
    Важно! Не активизируйте новый ключ до тех пор, пока на всех узлах кластера не будет установлен одинаковый файл ключа.
  6. Синхронизация кластера. При возникновении ошибки, связанной с коммуникациями кластера, следует отключить аутентификацию и шифрование сообщений и начать эту процедуру сначала.
  7. Отключение автоматического распространения ключей на всех узлах. (Этот этап следует выполнять, только если вы используете автоматическое распространение ключей):
    1. перейдите в SMIT HACMP Cluster Security (Безопасность кластера HACMP): выполните smit cm_config_security;
    2. выберите Configure Message Authentication Mode and Key Management (Конфигурирование режима аутентификации сообщений и управления ключами);
    3. выберите Enable/Disable Automatic Key Distribution (Включение-отключение автоматического распространения ключей);
    4. установите для параметра Enable/Disable Automatic Key Distribution (Включить-отключение автоматического распространения ключей) значение Disabled;
    5. нажмите Enter для подтверждения.

Повторите эти действия на всех узлах.

Важно! Всегда отключайте автоматическое распространение ключей после того, как были успешно сгенерированы и распространены новые ключи. В противном случае безопасность кластера нарушается.

Изменение ключа аутентификации

Ключ можно применять столько, сколько требуется, однако чем дольше вы используете один ключ, тем больше вероятность его перехвата и несанкционированного использования. Для обеспечения максимальной безопасности рекомендуется регулярно менять ключ, например ежемесячно.

  1. Включение автоматического распространения ключей на всех узлах. Этот этап следует выполнять, только если требуется использовать автоматическое распространение ключей:
    1. перейдите в SMIT HACMP Cluster Security (Безопасность кластера HACMP): выполните smit cm_config_security;
    2. выберите Configure Message Authentication Mode and Key Management (Конфигурирование режима аутентификации сообщений и управления ключами);
    3. выберите Enable/Disable Automatic Key Distribution (Включение-отключение автоматического распространения ключей);
    4. установите для параметра Enable/Disable Automatic Key Distribution (Включение-отключение автоматического распространения ключей) значение Enabled;
    5. нажмите Enter для подтверждения. Повторите эти действия на всех узлах.
  2. Генерирование и распространение ключей.
    1. Перейдите в SMIT HACMP Cluster Security (Безопасность кластера HACMP): выполните smit cm_config_security.
    2. Выберите Configure Message Authentication Mode and Key Management (Конфигурирование режима аутентификации сообщений и управления ключами).
    3. Выберите Generate/Distribute a Key (Сгенерировать/Распространить ключ).
    4. Нажмите F4 и выберите Type of Key to Generate (Тип генерируемого ключа). Здесь следует выбрать такой же ключ, как и на этапе 3, "Включение или изменение метода аутентификации и шифрования сообщений" (рис. 9.3).
    5. Выберите Distribute a Key (Распространить ключ):
      1. Yes (Да): при использовании автоматического распространения ключей;
      2. No (Нет): при использовании распространения ключей вручную.
    6. Нажмите Enter.
    7. Если вы используете распространение ключей вручную, тогда следует скопировать файл ключей с этого узла на другие узлы, заменив старые файлы.
  3. Активизация ключа:
    1. перейдите в SMIT HACMP Cluster Security (Безопасность кластера HACMP): выполните smit cm_config_security;
    2. выберите Configure Message Authentication Mode and Key Management (Конфигурирование режима аутентификации сообщений и управления ключами);
    3. выберите Activate the new key on all HACMP cluster nodes (Активизировать новый ключ на всех узлах кластера HACMP);
    4. еще раз нажмите Enter для подтверждения.
  4. Отключение автоматического распространения ключей на всех узлах. Этот этап следует выполнять, только если вы используете автоматическое распространение ключей:
    1. перейдите в SMIT HACMP Cluster Security (Безопасность кластера HACMP): выполните smit cm_config_security;
    2. выберите Configure Message Authentication Mode and Key Management (Конфигурирование режима аутентификации сообщений и управления ключами);
    3. выберите Enable/Disable Automatic Key Distribution (Включение-отключение автоматического распространения ключей);
    4. установите для параметра Enable/Disable Automatic Key Distribution (Включение-отключение автоматического распространения ключей) значение Disabled;
    5. нажмите Enter для подтверждения. Повторите эти действия на всех узлах.