ILOM

所有当前的 Oracle SPARC 系统都包括一个内置系统控制器 (ILOM)，该控制器具有以下功能：

• 管理基本环境控制，如风扇转速和机箱电源

• 支持固件升级

• 为控制域提供系统控制台

可以通过串行连接访问 ILOM，也可以使用 SSH、HTTP、HTTPS、SNMP 或 IPMI 通过网络端口访问 ILOM。Fujitsu M10 系统使用 XSCF（而不是 ILOM）执行类似功能。

威胁：完全的系统拒绝服务

获取了 ILOM 控制权的攻击者可以通过多种方式破坏系统，其中包括以下方式：

• 断开所有正在运行的来宾的电源

• 安装受操纵的固件以获取至少一个来宾域的访问权限

这些情形适用于具有此类控制器设备的任何系统。在虚拟化环境中，损害可能远大于物理环境，因为同一个系统附件中承载的许多域都将面临风险。

同样，获取了控制域或 I/O 域的控制权的攻击者可以通过关闭对应的 I/O 服务，轻松地禁用所有依赖的来宾域。

评估：完全的系统拒绝服务

虽然 ILOM 通常连接到管理网络，但还可以通过将 IPMI 与 BMC 访问模块配合使用，从控制域访问 ILOM。因此，这两种连接类型都应得到妥善保护，并与正常生产网络隔离。

同样，攻击者通过网络或者通过虚拟化堆栈中的错误破坏服务域，然后阻止来宾 I/O 或者执行系统关闭操作。虽然由于数据不会丢失或受损而损坏有限，但这种损坏可能会影响大量的来宾域。因此，请确保防止出现这种威胁的可能性以限制潜在的损坏。

对策：保护 ILOM 安全

作为系统服务处理器，ILOM 控制了一些重要的功能，如机箱电源、Oracle VM Server for SPARC 启动配置以及对控制域的控制台访问权限。通过以下措施，可以保护 ILOM 的安全：

• 将 ILOM 的网络端口放在与用于执行环境中的域的管理网络分隔的网段中。

• 禁用操作不需要的所有服务，如 HTTP、IPMI、SNMP、HTTPS 和 SSH。

• 配置专用的个人管理员帐户，这些帐户仅授予必需的权限。为了尽可能明确管理员所执行的操作的责任，应确保创建个人管理员帐户。对于控制台访问、固件升级和启动配置管理，这种类型的访问权限尤其重要。