第 1 章 Oracle VM Server for SPARC 安全概述
Oracle VM Server for SPARC 使用的安全功能
Oracle VM Server for SPARC 产品概述
将常规安全原则应用到 Oracle VM Server for SPARC
对策:规划 Oracle VM Server for SPARC 域迁移
对策:使用 Logical Domains Manager 权限
Figure 1–3 显示了执行环境的组件。每个组件提供特定的服务,这些服务共同形成运行生产来宾域的整个平台。正确地配置组件对系统的完整性至关重要。
所有执行环境组件都是攻击者的潜在目标。本部分介绍了可能影响执行环境中每个组件的威胁。有些威胁和对策可能适于多个组件。
通过操纵执行环境,可以从多个方面获取控制权。例如,可以在 ILOM 中安装受操纵的固件,对来自 I/O 域内部的所有来宾域 I/O 进行侦听。这样的攻击可以访问并更改系统的配置。获取了 Oracle VM Server for SPARC 控制域的控制权的攻击者可以随意重新配置系统;获取了 I/O 域控制权的攻击者可以更改连接的存储(如引导磁盘)。
成功侵入 ILOM 或执行环境中任何域的攻击者可以读取和操纵该域可用的所有数据。这种访问权限可通过网络获取,也可通过虚拟化堆栈中的错误获取。由于通常无法直接攻击 ILOM 和域,因此此类攻击难以执行。
防止操纵执行环境的对策是采用标准安全措施,并且应该在任何系统上都实施这些对策。标准安全措施在执行环境周围增加了一个保护层,可以进一步降低入侵和操纵的风险。
确保仅创建在系统上运行的应用程序所需的帐户。
确保使用基于密钥的验证或强口令保护进行管理所需的帐户。不应在不同的域之间共享这些密钥或口令。此外,还要考虑实施双重验证或“两人规则 (two-person rule)”以采取特定的操作。
不要对 root 之类的帐户使用匿名登录,确保可以完整地追溯系统上运行的命令并可确定责任。应使用权限向个别管理员仅授予对允许其执行的功能的访问权限。确保管理网络访问始终使用 SSH 之类的加密,并确保将管理员的工作站视为高安全性系统。
系统上安装的任何软件都可能会受破坏,因此要确保仅安装必需的软件,最大程度地缩小违规窗口。
除了安装最小化的 Oracle Solaris OS 以外,还要配置软件包来“强化”软件以防御攻击。首先,运行有限的网络服务,以便有效地禁用除 SSH 以外的所有网络服务。此策略是 Oracle Solaris 11 系统上的缺省行为。有关如何保护 Oracle Solaris OS 安全的信息,请参见 Solaris 安全页面。
生产应用程序必然要连接到其他系统,因此更容易受到外部攻击。不要将生产应用程序部署到属于执行环境的域,而是要确保仅将其部署到没有进一步特权的来宾域。
执行环境应该仅提供这些来宾域必需的基础结构。通过将执行环境与生产应用程序分开,可以在管理特权上实现细分。生产来宾域管理员不需要访问执行环境,而执行环境管理员则不需要访问生产来宾域。如有可能 ,为不同的域分配不同的执行环境角色,如控制域和 I/O 域。这种类型的配置可减少万一其中某个域受破坏时可能造成的损害。
还可以将角色划分延伸到用于连接不同服务器的网络环境。
将所有配备了服务处理器 (service processor, SP) 的服务器连接到专用管理网络。此配置也推荐用于执行环境的域。如果已经联网,则在这些域自己的专用网络上托管这些域。不要将执行环境域直接连接到分配给生产域的那些网络。虽然可以通过 ILOM SP 提供的单个控制台连接执行所有管理工作,但此配置会让管理变得很繁琐,以致不切实际。通过划分生产网络和管理网络,可以防止窃听和操纵。这种类型的分隔还可以防止通过共享网络从来宾域攻击执行环境。
图 1-5 专用管理网络