Gestion des services et ports ouverts indésirables
Il est possible de désactiver chacun des services Oracle ILOM, ce qui a pour effet de fermer les ports réseau correspondants. La plupart des services sont activés par défaut, mais vous souhaiterez sans doute en désactiver certains ou modifier les paramètres par défaut pour renforcer la sécurité de l'environnement Oracle ILOM. N'importe quel service Oracle ILOM peut être désactivé, mais cette opération réduit l'étendue des fonctionnalités disponibles. La règle d'or consiste à activer uniquement les services indispensables dans l'environnement déployé. Il faut mettre en balance la perte de certaines fonctionnalités et les avantages que présente l'activation d'un nombre réduit de services en matière de sécurité.
Le tableau suivant décrit l'impact de l'activation ou de la désactivation de chaque service.
Table 6 Services à l'état désactivé
|
|
|
HTTP |
Protocole non chiffré permettant d'accéder à l'interface Web d'Oracle ILOM |
L'activation de ce service assure de meilleures performances en matière de vitesse que le protocole HTTP chiffré (HTTPS). Cependant, l'utilisation de ce protocole peut entraîner l'envoi d'informations sensibles non chiffrées via Internet. |
HTTPS |
Protocole chiffré permettant d'accéder à l'interface Web d'Oracle ILOM |
L'activation de ce service garantit des communications sécurisées entre un navigateur Web et Oracle ILOM. Cependant, dans la mesure où il nécessite l'ouverture d'un port réseau sur Oracle ILOM, il accroît la vulnérabilité, ce qui peut conduire à un déni de service. |
Servicetag |
Protocole de découverte Oracle permettant d'identifier les serveurs et de faciliter les demandes d'assistance |
La désactivation de ce service empêche Oracle Enterprise Manager Ops Center de détecter Oracle ILOM, ce qui bloque l'intégration à d'autres solutions de services automatiques Oracle.
L'état Servicetag est configurable uniquement à partir de la CLI d'Oracle ILOM. Par exemple, pour modifier la propriété de l'état servicetag, tapez :
set /SP/services/servicetag state=enabled|disabled |
IPMI |
Protocole de gestion standard |
La désactivation de ce service peut empêcher Oracle Enterprise Manager Ops Center, ainsi que certains connecteurs de gestion Oracle à des logiciels tiers, de gérer le système. |
SNMP |
Protocole de gestion standard permettant de surveiller l'état d'Oracle ILOM et de contrôler les notifications de déroutement |
La désactivation de ce service peut empêcher Oracle Enterprise Manager Ops Center, ainsi que certains connecteurs de gestion Oracle à des logiciels tiers, de gérer le système. |
KVMS |
Ensemble de protocoles permettant de fournir un clavier, une sortie vidéo, une souris et une unité de stockage à distance |
La désactivation de ce service rend indisponibles la console hôte et le stockage à distance, ce qui empêche l'utilisation des applications Oracle ILOM Remote Console et Storage Redirection CLI. |
SSH |
Protocole sécurisé permettant d'accéder à un shell distant |
La désactivation de ce service interdit l'accès à la ligne de commande sur le réseau et peut empêcher Oracle Enterprise Manager Ops Center de détecter Oracle ILOM. |
SSO |
Fonction de connexion unique permettant de réduire le nombre de saisies des nom et mot de passe utilisateur |
La désactivation de ce service empêche le lancement de KVMS sans saisir à nouveau le mot de passe, mais autorise la navigation d'un module de contrôle de châssis (CMM) à un SP de lame sans saisir à nouveau le mot de passe. |
|
Pour des informations sur l'activation et la désactivation de services réseau individuels, reportez-vous à la section Configuration des services et and Network Ports ci-après.