Oracle® ILOM - Sicherheitshandbuch - Firmwarereleases 3.0, 3.1 und 3.2

Druckansicht beenden

Aktualisiert: Oktober 2015
 
 

Verwaltung von unerwünschten Services und offenen Ports

Alle Oracle ILOM-Services können bei Bedarf deaktiviert werden, wodurch die entsprechenden offenen Netzwerkports für diese Services geschlossen werden. Sie erreichen eine höhere Sicherheit in der Oracle ILOM-Umgebung, indem Sie einige Funktionen der standardmäßig aktivierten Services deaktivieren oder deren Standardeinstellungen ändern. Zwar können alle Oracle ILOM-Services deaktiviert werden, jedoch stehen dann weniger Funktionen zur Verfügung. Generell sollten nur diejenigen Services aktiviert werden, die für die bereitgestellte Umgebung erforderlich sind. Hierbei muss zwischen dem Verlust an Funktionen und der Erhöhung der Sicherheit durch weniger aktivierte Netzwerkservices abgewogen werden.

In der folgenden Tabelle werden die Folgen der Aktivierung bzw. Deaktivierung der einzelnen Services beschrieben.

Tabelle 6  Deaktivierte Services
Service
Beschreibung
Folge der Aktivierung/Deaktivierung
HTTP
Unverschlüsseltes Protokoll für den Zugriff auf die Oracle ILOM-Webbenutzeroberfläche
Die Aktivierung dieses Service bewirkt eine schnellere Ausführung als bei verschlüsseltem HTTP (HTTPS). Jedoch können dadurch sensible Daten unverschlüsselt über das Internet gesendet werden.
HTTPS
Verschlüsseltes Protokoll für den Zugriff auf die Oracle ILOM-Webbenutzeroberfläche
Durch die Aktivierung dieses Service wird eine sichere Kommunikation zwischen Webbrowseroberfläche und Oracle ILOM gewährleistet. Dafür ist jedoch ein offener Oracle ILOM-Netzwerkport erforderlich, wodurch das System anfälliger für Sicherheitsrisiken wie Denial-of-Service-Angriffe wird.
Servicetag
Oracle-Erkennungsprotokoll zur Serveridentifizierung und Erleichterung von Serviceanfragen
Durch die Deaktivierung dieses Service kann Oracle ILOM von Oracle Enterprise Manager Ops Center nicht mehr erkannt und nicht in andere automatische Oracle-Servicelösungen integriert werden.
Der Servicetag-Zustand kann nur mit der Oracle ILOM-CLI konfiguriert werden. Beispiel: Geben Sie Folgendes ein, um die servicetag-Zustandseigenschaft zu ändern:
set /SP/services/servicetag state=enabled|disabled
IPMI
Standardverwaltungsprotokoll
Durch die Deaktivierung dieses Service können möglicherweise Oracle Enterprise Manager Ops Center und einige Oracle-Verwaltungsanschlüsse zu Software von Fremdherstellern das System nicht mehr verwalten.
SNMP
Standardverwaltungsprotokoll für die Überwachung des Zustands von Oracle ILOM und empfangener Trap-Benachrichtigungen
Durch die Deaktivierung dieses Service können möglicherweise Oracle Enterprise Manager Ops Center und einige Oracle-Verwaltungsanschlüsse zu Software von Fremdherstellern das System nicht mehr verwalten.
KVMS
Protokollsatz, mit dem Tastatur, Video, Maus und Speicherplatz per Remote-Zugriff verwendet können.
Durch die Deaktivierung dieses Service können die Hostkonsole und der Remote-Speicherplatz und dadurch die Anwendungen Oracle ILOM Remote Console (oder Oracle ILOM Remote System Console Plus) und CLI Storage Redirection nicht mehr verwendet werden.
SSH
Sicheres Protokoll für den Zugriff auf eine Remote-Shell
Die Deaktivierung dieses Service bewirkt eine Sperrung des Netzwerkzugriffs über die Befehlszeilenschnittstelle und kann dazu führen, dass Oracle ILOM von Oracle Enterprise Manager Ops Center nicht mehr erkannt wird.
SSO
Single Sign-On-Funktion, durch die die Anzahl der erforderlichen Eingaben von Benutzername und Passwort reduziert wird
Die Deaktivierung dieses Service bewirkt, dass beim Start von KVMS das Passwort nicht erneut eingegeben werden muss. Außerdem ist ein Drilldown von einem CMM (Chassis Monitoring Module) in einen Blade-SP ohne erneute Passworteingabe möglich.

Informationen zum Aktivieren und Deaktivieren individueller Netzwerkservices finden Sie im folgenden Thema Konfigurieren von Services und Netzwerkports.