服务域

服务域可以为系统上的来宾域提供一些虚拟服务。这些服务可能包括虚拟交换机、虚拟磁盘或虚拟控制台服务。

Figure 1–6 显示了提供控制台服务的服务域示例。控制域经常会承载控制台服务，因此也是一种服务域。执行环境域经常会组合一个或两个域中的控制域、I/O 域和服务域的功能。

威胁：操纵服务域

获取了服务域控制权的攻击者可以操纵数据或者侦听通过提供的服务发生的任何通信。这种控制权可能包括对来宾域的控制台访问、对网络服务的访问或者对磁盘服务的访问。

评估：操纵服务域

虽然与针对控制域的攻击的攻击策略相同，但可能造成的损害更小，因为攻击者无法修改系统配置。产生的损害可能包括服务域正在提供的数据被盗或受操纵，但不包括对任何数据源的操纵。根据具体的服务，攻击者可能需要交换内核模块。

图 1-6  服务域示例

对策：精细划分服务域

如有可能，让每个服务域仅为其客户机提供一项服务。此配置可保证在服务域遭破坏时，只能损坏一项服务。但是，请确保权衡好此类型配置的重要性与增加的复杂性。请注意，强烈推荐拥有冗余 I/O 域。

对策：隔离服务域和来宾域

可以同时将 Oracle Solaris 10 和 Oracle Solaris 11 服务域与来宾域隔离。以下解决方案按实现的首选顺序显示：

• 确保服务域和来宾域不共享同一个网络端口。此外，也不要在服务域上检测任何虚拟交换机接口。对于 Oracle Solaris 11 服务域，不要在用于虚拟交换机的物理端口上检测任何 VNIC。

• 如果必须将同一个网络端口同时用于 Oracle Solaris 10 OS 和 Oracle Solaris 11 OS，则可将 I/O 域通信流量放在来宾域未使用的 VLAN 中。

• 如果不能实现以前的任一解决方案，则不要在 Oracle Solaris 10 OS 中检测虚拟交换机，并在 Oracle Solaris 11 OS 中应用 IP 过滤器。

对策：限制对虚拟控制台的访问

确保将单个虚拟控制台的访问权限仅限于必须访问这些虚拟控制台的用户。此配置可确保单个管理员不能访问所有控制台，从而可防止访问分配给受损帐户的控制台以外的其他控制台。请参见Oracle VM Server for SPARC 3.1 管理指南 中的如何创建默认服务。