Verwaltung von unerwünschten Services und offenen Ports
Alle Oracle ILOM-Services können bei Bedarf deaktiviert werden, wodurch die entsprechenden offenen Netzwerkports für diese Services geschlossen werden. Sie erreichen eine höhere Sicherheit in der Oracle ILOM-Umgebung, indem Sie einige Funktionen der standardmäßig aktivierten Services deaktivieren oder deren Standardeinstellungen ändern. Zwar können alle Oracle ILOM-Services deaktiviert werden, jedoch stehen dann weniger Funktionen zur Verfügung. Generell sollten nur diejenigen Services aktiviert werden, die für die bereitgestellte Umgebung erforderlich sind. Hierbei muss zwischen dem Verlust an Funktionen und der Erhöhung der Sicherheit durch weniger aktivierte Netzwerkservices abgewogen werden.
In der folgenden Tabelle werden die Folgen der Aktivierung bzw. Deaktivierung der einzelnen Services beschrieben.
Tabelle 6 Deaktivierte Services
|
|
|
HTTP |
Unverschlüsseltes Protokoll für den Zugriff auf die Oracle ILOM-Webbenutzeroberfläche |
Die Aktivierung dieses Service bewirkt eine schnellere Ausführung als bei verschlüsseltem HTTP (HTTPS). Jedoch können dadurch sensible Daten unverschlüsselt über das Internet gesendet werden. |
HTTPS |
Verschlüsseltes Protokoll für den Zugriff auf die Oracle ILOM-Webbenutzeroberfläche |
Durch die Aktivierung dieses Service wird eine sichere Kommunikation zwischen Webbrowseroberfläche und Oracle ILOM gewährleistet. Dafür ist jedoch ein offener Oracle ILOM-Netzwerkport erforderlich, wodurch das System anfälliger für Sicherheitsrisiken wie Denial-of-Service-Angriffe wird. |
Servicetag |
Oracle-Erkennungsprotokoll zur Serveridentifizierung und Erleichterung von Serviceanfragen |
Durch die Deaktivierung dieses Service kann Oracle ILOM von Oracle Enterprise Manager Ops Center nicht mehr erkannt und nicht in andere automatische Oracle-Servicelösungen integriert werden.
Der Servicetag-Zustand kann nur mit der Oracle ILOM-CLI konfiguriert werden. Beispiel: Geben Sie Folgendes ein, um die servicetag-Zustandseigenschaft zu ändern:
set /SP/services/servicetag state=enabled|disabled |
IPMI |
Standardverwaltungsprotokoll |
Durch die Deaktivierung dieses Service können möglicherweise Oracle Enterprise Manager Ops Center und einige Oracle-Verwaltungsanschlüsse zu Software von Fremdherstellern das System nicht mehr verwalten. |
SNMP |
Standardverwaltungsprotokoll für die Überwachung des Zustands von Oracle ILOM und empfangener Trap-Benachrichtigungen |
Durch die Deaktivierung dieses Service können möglicherweise Oracle Enterprise Manager Ops Center und einige Oracle-Verwaltungsanschlüsse zu Software von Fremdherstellern das System nicht mehr verwalten. |
KVMS |
Protokollsatz, mit dem Tastatur, Video, Maus und Speicherplatz per Remote-Zugriff verwendet können. |
Durch die Deaktivierung dieses Service können die Hostkonsole und der Remote-Speicherplatz und dadurch die Anwendungen Oracle ILOM Remote Console (oder Oracle ILOM Remote System Console Plus) und CLI Storage Redirection nicht mehr verwendet werden. |
SSH |
Sicheres Protokoll für den Zugriff auf eine Remote-Shell |
Die Deaktivierung dieses Service bewirkt eine Sperrung des Netzwerkzugriffs über die Befehlszeilenschnittstelle und kann dazu führen, dass Oracle ILOM von Oracle Enterprise Manager Ops Center nicht mehr erkannt wird. |
SSO |
Single Sign-On-Funktion, durch die die Anzahl der erforderlichen Eingaben von Benutzername und Passwort reduziert wird |
Die Deaktivierung dieses Service bewirkt, dass beim Start von KVMS das Passwort nicht erneut eingegeben werden muss. Außerdem ist ein Drilldown von einem CMM (Chassis Monitoring Module) in einen Blade-SP ohne erneute Passworteingabe möglich. |
|
Informationen zum Aktivieren und Deaktivieren individueller Netzwerkservices finden Sie im folgenden Thema Konfigurieren von Services und Netzwerkports.