执行环境

Figure 1–3 显示了执行环境的组件。每个组件提供特定的服务，这些服务共同形成运行生产来宾域的整个平台。正确地配置组件对系统的完整性至关重要。

所有执行环境组件都是攻击者的潜在目标。本部分介绍了可能影响执行环境中每个组件的威胁。有些威胁和对策可能适于多个组件。

威胁：操纵执行环境

通过操纵执行环境，可以从多个方面获取控制权。例如，可以在 ILOM 中安装受操纵的固件，对来自 I/O 域内部的所有来宾域 I/O 进行侦听。这样的攻击可以访问并更改系统的配置。获取了 Oracle VM Server for SPARC 控制域的控制权的攻击者可以随意重新配置系统；获取了 I/O 域控制权的攻击者可以更改连接的存储（如引导磁盘）。

评估：操纵执行环境

成功侵入 ILOM 或执行环境中任何域的攻击者可以读取和操纵该域可用的所有数据。这种访问权限可通过网络获取，也可通过虚拟化堆栈中的错误获取。由于通常无法直接攻击 ILOM 和域，因此此类攻击难以执行。

防止操纵执行环境的对策是采用标准安全措施，并且应该在任何系统上都实施这些对策。标准安全措施在执行环境周围增加了一个保护层，可以进一步降低入侵和操纵的风险。

对策：保护交互式访问路径

确保仅创建在系统上运行的应用程序所需的帐户。

确保使用基于密钥的验证或强口令保护进行管理所需的帐户。不应在不同的域之间共享这些密钥或口令。此外，还要考虑实施双重验证或“两人规则 (two-person rule)”以采取特定的操作。

不要对 root 之类的帐户使用匿名登录，确保可以完整地追溯系统上运行的命令并可确定责任。应使用权限向个别管理员仅授予对允许其执行的功能的访问权限。确保管理网络访问始终使用 SSH 之类的加密，并确保将管理员的工作站视为高安全性系统。

对策：最小化 Oracle Solaris OS

系统上安装的任何软件都可能会受破坏，因此要确保仅安装必需的软件，最大程度地缩小违规窗口。

对策：强化 Oracle Solaris OS

除了安装最小化的 Oracle Solaris OS 以外，还要配置软件包来“强化”软件以防御攻击。首先，运行有限的网络服务，以便有效地禁用除 SSH 以外的所有网络服务。此策略是 Oracle Solaris 11 系统上的缺省行为。有关如何保护 Oracle Solaris OS 安全的信息，请参见 Solaris 安全页面。

对策：使用角色划分和应用程序隔离

生产应用程序必然要连接到其他系统，因此更容易受到外部攻击。不要将生产应用程序部署到属于执行环境的域，而是要确保仅将其部署到没有进一步特权的来宾域。

执行环境应该仅提供这些来宾域必需的基础结构。通过将执行环境与生产应用程序分开，可以在管理特权上实现细分。生产来宾域管理员不需要访问执行环境，而执行环境管理员则不需要访问生产来宾域。如有可能 ，为不同的域分配不同的执行环境角色，如控制域和 I/O 域。这种类型的配置可减少万一其中某个域受破坏时可能造成的损害。

还可以将角色划分延伸到用于连接不同服务器的网络环境。

对策：配置专用管理网络

将所有配备了服务处理器 (service processor, SP) 的服务器连接到专用管理网络。此配置也推荐用于执行环境的域。如果已经联网，则在这些域自己的专用网络上托管这些域。不要将执行环境域直接连接到分配给生产域的那些网络。虽然可以通过 ILOM SP 提供的单个控制台连接执行所有管理工作，但此配置会让管理变得很繁琐，以致不切实际。通过划分生产网络和管理网络，可以防止窃听和操纵。这种类型的分隔还可以防止通过共享网络从来宾域攻击执行环境。

图 1-5  专用管理网络