所有当前的 Oracle SPARC 系统都包括一个内置系统控制器 (ILOM),该控制器具有以下功能:
管理基本环境控制,如风扇转速和机箱电源
支持固件升级
为控制域提供系统控制台
可以通过串行连接访问 ILOM,也可以使用 SSH、HTTP、HTTPS、SNMP 或 IPMI 通过网络端口访问 ILOM。Fujitsu M10 服务器使用 XSCF(而不是 ILOM)执行类似功能。
获取了 ILOM 控制权的攻击者可以通过多种方式破坏系统,其中包括以下方式:
断开所有正在运行的来宾的电源
安装受操纵的固件以获取至少一个来宾域的访问权限
这些情形适用于具有此类控制器设备的任何系统。在虚拟化环境中,损害可能远大于物理环境,因为同一个系统附件中承载的许多域都将面临风险。
同样,获取了控制域或 I/O 域的控制权的攻击者可以通过关闭对应的 I/O 服务,轻松地禁用所有依赖的来宾域。
虽然 ILOM 通常连接到管理网络,但还可以通过将 IPMI 与 BMC 访问模块配合使用,从控制域访问 ILOM。因此,这两种连接类型都应得到妥善保护,并与正常生产网络隔离。
同样,攻击者通过网络或者通过虚拟化堆栈中的错误破坏服务域,然后阻止来宾 I/O 或者执行系统关闭操作。虽然由于数据不会丢失或受损而损坏有限,但这种损坏可能会影响大量的来宾域。因此,请确保防止出现这种威胁的可能性以限制潜在的损坏。
作为系统服务处理器,ILOM 控制了一些重要的功能,如机箱电源、Oracle VM Server for SPARC 启动配置以及对控制域的控制台访问权限。通过以下措施,可以保护 ILOM 的安全:
将 ILOM 的网络端口放在与用于执行环境中的域的管理网络分隔的网段中。
禁用操作不需要的所有服务,如 HTTP、IPMI、SNMP、HTTPS 和 SSH。
配置专用的个人管理员帐户,这些帐户仅授予必需的权限。为了尽可能明确管理员所执行的操作的责任,应确保创建个人管理员帐户。对于控制台访问、固件升级和启动配置管理,这种类型的访问权限尤其重要。