不需要的服务和开放端口的管理
可以选择禁用所有 Oracle ILOM 服务,这样会关闭这些服务各自的开放网络端口。尽管大多数服务默认情况下处于启用状态,但是您可能希望禁用某些功能或更改默认设置,以提高 Oracle ILOM 环境的安全级别。任何 Oracle ILOM 服务都可以禁用,但是会失去相应的功能。一般而言,仅在部署的环境启用绝对必要的那些服务。必须将失去的功能与减少启用的网络服务所带来的安全性益处进行权衡。
下表说明启用或禁用各个服务的影响。
表 6 禁用服务的影响
|
|
|
HTTP |
用于访问 Oracle ILOM Web 界面的非加密协议 |
与加密的 HTTP (HTTPS) 相比,启用此服务时性能更佳。然而,使用此协议可能会导致在不加密的情况下通过 Internet 发送敏感信息。 |
HTTPS |
用于访问 Oracle ILOM Web 界面的加密协议 |
启用此服务可在 Web 浏览器和 Oracle ILOM 之间提供安全的通信。然而,由于它需要在 Oracle ILOM 上开放网络端口,因此增加了受到攻击(如拒绝服务)的可能性。 |
Servicetag |
用于识别服务器和支持服务请求的 Oracle 搜索协议 |
如果禁用此服务,将导致 Oracle Enterprise Manager Ops Center 无法搜索 Oracle ILOM,并且将无法集成到其他 Oracle 自动化服务解决方案中。
只能在 Oracle ILOM CLI 中配置 Servicetag 状态。例如,要修改 servicetag 状态属性,请键入:
set /SP/services/servicetag state=enabled|disabled |
IPMI |
标准管理协议 |
如果禁用此服务,则可能无法通过 Oracle Enterprise Manager Ops Center 和第三方软件的某些 Oracle 管理连接器来管理系统。 |
SNMP |
标准管理协议,用于监视 Oracle ILOM 的运行状况和监视收到的陷阱通知 |
如果禁用此服务,则可能无法通过 Oracle Enterprise Manager Ops Center 和第三方软件的某些 Oracle 管理连接器来管理系统。 |
KVMS |
用于提供远程键盘、视频、鼠标和存储的一组协议 |
如果禁用此服务,将导致主机控制台和远程存储功能不可用,从而导致其无法使用 Oracle ILOM Remote System Console(或 Oracle ILOM Remote System Console Plus)和 Storage Redirection CLI 应用程序。 |
SSH |
用于访问远程 shell 的安全协议 |
如果禁用此服务,将无法通过网络进行命令行访问,并且可能会导致 Oracle Enterprise Manager Ops Center 无法搜索 Oracle ILOM。 |
SSO |
单点登录功能,用于减少用户必须输入用户名和密码的次数 |
如果禁用此服务,则在启动 KVMS 时需要重新输入密码,而且在从机箱监视模块 (chassis monitoring module, CMM) 深入到刀片 SP 时无需重新输入密码。 |
|
有关启用和禁用各个网络服务的信息,请参见下面的Configuring Services and Network Ports主题。