Adminisztráció#

Ez a fejezet a Adminisztrátor szerepkörrel rendelkező felhasználók adminisztrációs feladatait írja le. A szerepkörről bővebben a Rollák fejezetben olvashat.

Fontos

Kérjük, a munka megkezdése előtt feltétlenül olvassa el a a dokumentum elején található információkat.

Rendszerirányítás#

Eszközinformációk#

A NetHSM gyártó- és termékinformációi a következőképpen kérhetők le.

Példa

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Boot üzemmód#

A NetHSM használható Vigyázott indítás és Vigyázatlan indítás üzemmódban.

Boot üzemmód	Leírás
Részt vett Boot	A NetHSM a _Locked_ állapotba indul. Minden indításkor be kell írni a Unlock Passphrase jelszót, amely a felhasználói adatok visszafejtésére szolgál. Biztonsági okokból ez az üzemmód ajánlott, és ez az alapértelmezett üzemmód egy frissen feltöltött rendszer esetében.
Unattended Boot	A rendszer felügyelet nélkül, a Unlock Passphrase megadása nélkül indul _Operational_ állapotba. Akkor használja ezt az üzemmódot, ha a rendelkezésre állási követelményeket nem lehet teljesíteni a Attended Boot üzemmóddal.

Figyelem

Az indítási módtól függetlenül a Unlock Passphrase érvényességét megőrzi, és szükséges a biztonsági mentések más hardveren történő visszaállításához. A Unlock Passphrase jelszót mindig tartsa biztonságban.

Az aktuális indítási mód a következőképpen kérhető le.

Példa

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Az indítási mód a következőképpen módosítható. A következő indításkor a NetHSM ennek megfelelően fog viselkedni.

érvek

Érv	Leírás
Állapot	Engedélyezi vagy letiltja a Vigyázatlan indítást. Lehet értéke `on` vagy `off`.

Példa

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Állam#

A NetHSM szoftver négy állapottal rendelkezik: Előkészítetlen, Készenlétbe helyezett, Zárolt és Működőképes.

Állam	Leírás
Előkészítetlen	NetHSM konfiguráció nélkül (gyári alapértelmezés)
Provisioned	NetHSM konfigurációval. A Provisioned állapot Operational vagy Locked állapotot jelent.
Operational	NetHSM konfigurációval és parancsok végrehajtására kész. Az Operational állapot a Provisioned állapotot feltételezi.
Locked	NetHSM konfigurációval, de titkosított és elérhetetlen adattárolókkal. A következő lépés jellemzően a rendszer feloldása. A Locked állapot magában foglalja a Provisioned állapotot.

A NetHSM aktuális állapota a következőképpen kérhető le.

Példa

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Egy új NetHSM Unprovisioned állapotban van, és a rendelkezésre bocsátás után Operational állapotba kerül. A NetHSM üzembe helyezését a Beüzemelés fejezet ismerteti.

Az működő állapotban lévő NetHSM-et a következő módon lehet újra lezárni a védelme érdekében.

Példa

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

A Locked állapotban lévő NetHSM a következőképpen oldható fel. Amíg a NetHSM _Locked_ állapotban van, más művelet nem lehetséges. Ezt követően a NetHSM _működőképes_ állapotba kerül.

Példa

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Jelszó feloldása#

A Locking Passphrase a Unlock Key levezetésére szolgál, ha a NetHSM Locked állapotban van. A jelszót a NetHSM üzembe helyezésekor kell beállítani.

A Jelszó feloldása a következőképpen állítható be.

választható opciók

Opció	Leírás
`-p`, `--passphrase` `TEXT`	Az új feloldási jelszó

Példa

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

TLS tanúsítvány#

A TLS tanúsítványt a HTTPS alapú REST API használja, és így a nitropy is. A rendelkezésre bocsátás során egy saját aláírt tanúsítvány jön létre. A tanúsítvány helyettesíthető, például egy hitelesítésszolgáltatótól (CA) származó aláírt tanúsítvánnyal. Ebben az esetben egy tanúsítvány aláírási kérelmet (CSR) kell generálni. Aláírás után a tanúsítványt be kell importálni a NetHSM-be.

Módosításra csak akkor van szükség, ha a tanúsítványt le kell cserélni. Ilyen módosítás lehet a tanúsítvány egy tanúsítványkiadó (CA) aláírt tanúsítványával való helyettesítése.

A TLS-tanúsítványt a következőképpen lehet lekérni.

Szükséges opciók

Opció	Leírás
`-a`, `--api`	A tanúsítvány beállítása a NetHSM TLS-interfészhez

Példa

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

A TLS-tanúsítványt a következőképpen lehet létrehozni.

Szükséges opciók

Opció	Leírás
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`	A generált kulcs típusa
`-l`, `--length` `INTEGER`	A generált kulcs hossza

Példa

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

A tanúsítvány aláírási kérelme (CSR) a tanúsítványhoz a következőképpen generálható.

Szükséges opciók

Opció	Leírás
`-a`, `--api`	CSR generálása a NetHSM TLS tanúsítványhoz
`--country` `TEXT`	Az ország neve
`--state-or-province` `TEXT`	Az állam vagy tartomány neve
`--locality` `TEXT`	A helység neve
`--organization` `TEXT`	A szervezet neve
`--organizational-unit` `TEXT` ``	A szervezeti egység neve
`--common-name` `TEXT`	A közös név
`--email-address` `TEXT`	Az e-mail cím

Példa

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

A tanúsítvány a következőképpen cserélhető ki.

Szükséges opciók

Opció	Leírás
`-a`, `--api`	A tanúsítvány beállítása a NetHSM TLS-interfészhez

érvek

Érv	Leírás
`FILENAME`	Tanúsítvány fájl

Példa

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Hálózat#

A hálózati konfiguráció határozza meg a Hálózati port beállításait.

Megjegyzés

Ez a beállítás nem konfigurálja a BMC hálózati portot.

A hálózati konfiguráció a következőképpen kérhető le.

Szükséges opciók

Opció	Leírás
`--network`	A hálózati konfiguráció lekérdezése

Példa

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Állítsa be a hálózati konfigurációt a következőképpen.

Megjegyzés

A NetHSM nem támogatja a DHCP-t (Dynamic Host Configuration Protocol).

Megjegyzés

A NetHSM nem támogatja az IPv6 (Internet Protocol 6-os verziója) protokollt.

Szükséges opciók

Opció	Leírás
`-a`, `--ip-address`	Az új IP-cím
`-n`, `--netmask`	Az új hálózati maszk
`-n`, `--netmask`	Az új átjáró

Példa

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Idő#

Az időkonfiguráció a NetHSM szoftver rendszeridejét állítja be. A rendszeridő beállítása általában nem szükséges, mivel az a rendszerbeállítás során kerül beállításra.

Az időkonfiguráció a következőképpen kérhető le.

Szükséges opciók

Opció	Leírás
`--time`	A rendszeridő lekérdezése

Példa

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Állítsa be a NetHSM időpontját.

Fontos

Ügyeljen arra, hogy az időt UTC időzónában adja meg.

érvek

Érv	Leírás
`time`	A beállítandó rendszeridő (formátum: ÉÉÉÉÉ-HH-HH-HH:MM:SSZ)

Példa

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Mérőszámok#

A NetHSM naplózza a rendszerparaméterek metrikáit.

Megjegyzés

Ehhez a parancshoz a Metrics szerepkörrel rendelkező felhasználó hitelesítése szükséges. A szerepkörről bővebben a Rollák fejezetben olvashat.

Az egyes mérőszámokról bővebben a Metrics oldalon tájékozódhat.

A metrikák a következőképpen kérhetők le.

Példa

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Naplózás#

A NetHSM naplózhatja a rendszereseményeket a soros portra vagy a hálózaton lévő syslog-kiszolgálóra.

Fontos

Bármely termelési telepítés esetén a NetHSM naplót folyamatosan figyelemmel kell kísérni, hogy azonnali értesítést kapjon az esetleges biztonsági problémákról.

A soros konzol a NetHSM hardver indításától kezdve működik. Tartalmazza a NetHSM firmware és a NetHSM szoftver eseményeit.

A soros konzolkapcsolat beállításai a következők.

A beállítása	Érték
Baud-ráta	115200
Adat bitek	8
Stop bitek	1
Paritás	Nincs
Áramlásszabályozás	Nincs

A syslog-kiszolgáló konfigurációja a következőképpen kérhető le.

Szükséges opciók

Opció	Leírás
`--network`	A naplózási konfiguráció lekérdezése

Példa

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

A syslog-kiszolgáló konfigurációja a következőképpen állítható be.

Szükséges opciók

Opció	Leírás
`-p`, `--passphrase` `TEXT`	Az új naplózási célállomás IP-címe
`-p`, `--port` `INTEGER`	Az új naplózási célállomás portja
`-l`, `--log-level` `[debug\|info\|warning\|error]`	Az új naplózási szint

Példa

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Biztonsági mentés#

A NetHSM felhasználói adatok menthetők egy biztonsági mentési fájlba. Ez a biztonsági másolatfájl tartalmazza az összes Belhasználói adatot, nevezetesen a Konfigurációs tárolót, Autentikációs tárolót, Domain Key Store és Key Store.

Fontos

A NetHSM rendszerszoftver Felügyelet nélküli indítás üzemmódban a Ellengedélyezési jelszó feloldása szükséges, ha egy másik NetHSM hardveren történik a visszaállítás. További információkért olvassa el a az fejezetet.

Fontos

A Vigyázatlan indítás üzemmódban lévő NetHSM a visszaállítás után ugyanebben az üzemmódban lesz.

A biztonsági mentés elindítása előtt be kell állítani a Backup Passphrase (biztonsági mentés jelszava) jelszót. A Backup Passphrase a biztonsági mentési fájlban lévő adatok titkosítására szolgál.

A biztonsági másolat jelszava a következőképpen állítható be.

választható opciók

Opció	Leírás
`-p`, `--passphrase` `TEXT`	Az új biztonsági másolat jelszava

Példa

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

Megjegyzés

Ehhez a parancshoz a Backup szerepkörrel rendelkező felhasználó hitelesítése szükséges. További információkért olvassa el a Rollák fejezetet.

A biztonsági mentés a következőképpen hajtható végre.

érvek

Érv	Leírás
`FILENAME`	Biztonsági mentés

Példa

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Megjegyzés

Ez a biztonsági mentési fájl csak egy nem provizorizált NetHSM-példányon állítható vissza.

Visszaállítás#

A NetHSM visszaállítható biztonsági másolatból.

Ha a NetHSM Nem engedélyezett, akkor visszaállítja az összes felhasználói adatot beleértve a rendszerkonfigurációt és az újraindítást. Ezért előfordulhat, hogy a rendszer utólag eltérő hálózati beállításokat, TLS-tanúsítványt és Unlock Passphrase jelszót kap.
Ha a NetHSM a Provisioned címen érhető el, akkor a felhasználók és a felhasználói kulcsok visszaállítása megtörténik, de a rendszerkonfiguráció nem. Ebben az esetben minden korábban létező felhasználó és felhasználói kulcs törlődik. A NetHSM a Operational állapotba kerül.

A helyreállítás a következőképpen alkalmazható.

választható opciók

Opció	Leírás
`-p`, `--backup-passphrase` `passphrase`	A Backup Passphrase
`-t`, `--system-time`	A beállítandó rendszeridő (formátum: `YYYY-MM-DDTHH:MM:SSZ`)

Fontos

Győződjön meg arról, hogy a helyi számítógépen helyesen van-e beállítva az idő. Ha más időt szeretne beállítani, kérjük, adja meg manuálisan.

érvek

Érv		Leírás
`FILENAME` \| Fájl visszaállítása

Példa

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Szoftverfrissítés#

A szoftverfrissítések kétlépcsős eljárással telepíthetők. Először a frissítési képet fel kell tölteni a Provisioned NetHSM címre. A NetHSM ellenőrzi a kép hitelességét, sértetlenségét és verziószámát. Opcionálisan a NetHSM megjeleníti a kiadási megjegyzéseket, ha vannak ilyenek.

Figyelem

A béta frissítés telepítése miatt adatvesztés következhet be! A stabil verziók nem okozhatnak adatvesztést. A frissítés előtt azonban ajánlott biztonsági mentést készíteni.

A frissítési fájl a következőképpen tölthető fel.

érvek

Érv	Leírás
`FILENAME`	Fájl frissítése

Példa

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio

Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Ezt követően a frissítés alkalmazható vagy megszakítható. Kérjük, olvassa el a kívánt opciót az alábbiakban. Ha a NetHSM-et a „commit” művelet előtt kikapcsolják, a frissítési fájlt újra fel kell tölteni.

A frissítést a következőképpen lehet alkalmazni (commit). Bármilyen adatmigráció csak azután történik, hogy a NetHSM sikeresen elindította az új rendszerszoftver-verziót.

Példa

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

A frissítés a következőképpen törölhető.

Példa

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Újraindítás és leállítás#

A NetHSM újraindítható és kikapcsolható, akár távolról, akár a NetHSM hardver előlapján található újraindító és kikapcsoló gombbal.

A távoli újraindítás a következőképpen kezdeményezhető.

Példa

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

A távoli leállítás a következőképpen kezdeményezhető.

Példa

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Gyári alapbeállítások visszaállítása#

A Provisioned NetHSM visszaállítható a gyári alapbeállításokra. Ebben az esetben minden felhasználói adat biztonságosan törlődik, és a NetHSM a Unprovisioned állapotba indul. Ezt követően a NetHSM-et provisionálni lehet.

A gyári alapbeállítások visszaállítása a következőképpen hajtható végre.

Példa

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Felhasználó kezelése#

Szerepek#

A NetHSM lehetővé teszi a feladatok szétválasztását különböző szerepkörök alkalmazásával. A NetHSM-en konfigurált minden egyes felhasználói fiókhoz a következő Rollák egyike tartozik.

Szerepvállalás	Leírás
Adminisztrátor	Az ezzel a szereppel rendelkező felhasználói fiók hozzáféréssel rendelkezik a NetHSM által biztosított összes művelethez, kivéve a kulcshasználati műveleteket, azaz az üzenet aláírását és visszafejtését.
Operátor	Az ezzel a szerepkörrel rendelkező felhasználói fiók hozzáféréssel rendelkezik az összes kulcshasználati művelethez, a kulcskezelési műveletek csak olvasható részhalmazához és a csak a saját fiókjának módosítását lehetővé tevő felhasználókezelési műveletekhez.
Metrics	Az ezzel a szerepkörrel rendelkező felhasználói fiók csak olvasható metrikai műveletekhez rendelkezik hozzáféréssel.
Backup	Az ezzel a szerepkörrel rendelkező felhasználói fiók csak a rendszer biztonsági mentésének kezdeményezéséhez szükséges műveletekhez fér hozzá.

A finomabb hozzáférési korlátozásokért lásd Címkék.

Megjegyzés

Egy későbbi kiadásban további Rollák kerülhetnek bevezetésre.

Felhasználó hozzáadása#

Adjon hozzá egy felhasználói fiókot a NetHSM-hez. Minden felhasználói fióknak van egy Role, amelyet meg kell adni. A Rólusokról bővebben a Rólusok fejezetben olvashat.

Megjegyzés

A NetHSM véletlenszerű felhasználói azonosítót rendel hozzá, ha nincs megadva.

Egy felhasználói fiókot a következőképpen adhat hozzá.

Szükséges opciók

Opció	Leírás
`-n`, `--real-name` `TEXT`	A felhasználó valódi neve
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`	Az új felhasználó szerepe
`-p`, `--passphrase` `TEXT`	Az új felhasználó jelszava

választható opciók

Opció	Leírás
`-u`, `--user-id` `TEXT`	Az új felhasználó felhasználói azonosítója

Példa

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Felhasználó törlése#

Felhasználói fiók törlése a NetHSM-ből.

Figyelem

A törlés végleges, és nem lehet visszaállítani.

Egy felhasználói fiók a következőképpen törölhető.

érvek

Érv	Leírás
`USER_ID`	A felhasználó azonosítója.

Példa

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Felhasználók listája#

A NetHSM felhasználóinak listája.

A lista a következőképpen hívható le.

választható opciók

Opció	Leírás
`--details`, `--no-details`	A felhasználó valódi nevének és szerepének lekérdezése

Példa

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Felhasználói jelszó#

A felhasználói fiók jelszava visszaállítható. A jelszót a felhasználói fiók hozzáadásakor kell beállítani.

Megjegyzés

A jelszavaknak >= 10 és <= 200 karakterből kell állniuk.

A felhasználói jelszót a következőképpen lehet beállítani.

Szükséges opciók

Opció	Leírás
`-u`, `--user-id` `TEXT`	A felhasználó azonosítója
`-p`, `--passphrase` `TEXT`	A felhasználó új jelszava

Példa

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Címkék a felhasználók számára#

A címkék a kulcsok finomabb hozzáférési korlátozásainak beállítására használhatók, és opcionális funkció. Egy vagy több Címke csak a Operator szerepkörrel rendelkező felhasználói fiókokhoz rendelhető. A Operátorok minden kulcsot láthatnak, de csak azokat használhatják, amelyekhez legalább egy megfelelő Címke tartozik. Egy kulcsot nem módosíthat egy Operator felhasználó.

A Tagek kulcsokon való használatáról a Tagek kulcsokhoz című fejezetben olvashat.

A címke a következőképpen adható hozzá.

érvek

Érv	Leírás
`USER_ID`	A felhasználói azonosító, amelyre a címkét be kell állítani.
`TAG`	A felhasználói azonosítóhoz beállított címke.

Példa

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

A Tag a következőképpen törölhető.

érvek

Érv	Leírás
`USER_ID`	A felhasználói azonosító, amelyre a címkét be kell állítani.
`TAG`	A felhasználói azonosítóhoz beállított címke.

Példa

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443