不要なサービスと開いているポートの管理
すべての Oracle ILOM サービスはオプションで無効にでき、それにより、それらのサービス用に開かれている各ネットワークポートが閉じられます。大半のサービスはデフォルトで有効になっていますが、一部の機能を無効にしたり、デフォルトの設定を変更したりして、Oracle ILOM 環境をよりセキュアにすることができます。Oracle ILOM サービスはどれも無効にできますが、無効にすると機能が失われます。一般には、配備された環境で絶対に必要なサービスだけを有効にします。機能が失われることと、有効なネットワークサービスの数を減らすことによるセキュリティー上の利点とを、比較検討する必要があります。
次の表は、各サービスを有効化または無効化した場合の影響について説明しています。
表 6 サービスを無効にした場合
|
|
|
HTTP |
Oracle ILOM Web インタフェースにアクセスするための非暗号化プロトコル |
このサービスを有効にすると暗号化 HTTP (HTTPS) よりも高いパフォーマンスが得られます。ただし、このプロトコルを使用すると、機密情報が暗号化されずにインターネット経由で送信されることになります。 |
HTTPS |
Oracle ILOM Web インタフェースにアクセスするための暗号化プロトコル |
このサービスを有効にすると、Web ブラウザと Oracle ILOM 間でセキュアな通信が可能となります。ただし、このサービスでは、Oracle ILOM 上でネットワークポートを開いておく必要があるため、サービス拒否などの攻撃に対する脆弱性が増します。 |
サービスタグ |
サーバーを識別し、サービス要求を容易にするための Oracle の発見プロトコル |
このサービスを無効にすると、Oracle Enterprise Manager Ops Center が Oracle ILOM を発見できなくなり、その他の Oracle の自動サービスソリューションへの統合もできなくなります。
サービスタグの状態は Oracle ILOM CLI からでしか構成できません。たとえば、サービスタグの状態プロパティーを変更するには次のように入力します。
set /SP/services/servicetag state=enabled|disabled |
IPMI |
標準の管理プロトコル |
このサービスを無効にすると、Oracle Enterprise Manager Ops Center、およびサードパーティー製ソフトウェアへの接続を提供する一部の Oracle 管理コネクタによってシステムを管理できなくなることがあります。 |
SNMP |
Oracle ILOM の健全性のモニタリングおよびトラップ通知受信のモニタリングを行うための標準の管理プロトコル |
このサービスを無効にすると、Oracle Enterprise Manager Ops Center、およびサードパーティー製ソフトウェアへの接続を提供する一部の Oracle 管理コネクタによってシステムを管理できなくなることがあります。 |
KVMS |
リモートのキーボード、ビデオ、マウス、およびストレージを提供するためのプロトコルセット |
このサービスを無効にすると、ホストコンソールとリモートストレージ機能が使用不可になり、Oracle ILOM リモートシステムコンソール (または Oracle ILOM リモートシステムコンソールプラス) と CLI ストレージリダイレクションアプリケーションを使用できなくなります。 |
SSH |
リモートシェルにアクセスするためのセキュアなプロトコル。 |
このサービスを無効にすると、ネットワーク経由でのコマンド行アクセスが禁止され、Oracle Enterprise Manager Ops Center が Oracle ILOM を発見できなくなることがあります。 |
SSO |
ユーザーによるユーザー名とパスワードの入力回数を減らすシングルサインオン機能 |
このサービスを無効にすると、パスワードを再入力せずに KVMS を起動することができなくなり、パスワードを再入力せずにシャーシモニタリングモジュール (CMM) からブレード SP にドリルダウンすることが許可されます。 |
|
個々のネットワークサービスの有効化および無効化の詳細は、次のトピック Configuring Services and Network Portsを参照してください。