在根据安全原则对网络进行配置后,需要定期进行检查和维护。
请遵循以下准则来保护对系统的本地和远程访问:
使用 SSH 而非 Telnet 限定只有特定的 IP 地址才可以进行远程配置。Telnet 以明文形式传递用户名和密码,这可能使局域网 (Local Area Network, LAN) 段上的每个人都能看到登录凭据。为 SSH 设置强密码。
使用简单网络管理协议 (Simple Network Management Protocol, SNMP) 版本 3 来提供安全传输。SNMP 的早期版本不安全,它们以未加密文本形式传输验证数据。SNMPv3 使用加密提供安全的通道和单独的用户名和密码。
如果必须使用 SNMPv1 或 SNMPv2,请将默认的 SNMP 团体字符串更改为加强的团体字符串。某些产品将 PUBLIC 设置为默认 SNMP 团体字符串。攻击者可以查询团体以绘制非常完整的网络图,并可能修改管理信息库 (Management Information Base, MIB) 值。
如果系统控制器使用浏览器界面,请始终在使用后进行注销。
禁用不必要的网络服务,如传输控制协议 (Transmission Control Protocol, TCP) 或超文本传输协议 (Hypertext Transfer Protocol, HTTP)。启用必要的网络服务并安全地配置这些服务。
创建在登录时显示的标题消息,声明禁止未经授权的访问。您可以向用户告知任何重要的策略或规则。可以使用标题向用户警示给定系统的特殊访问限制,或者向用户提醒密码策略及正确使用方式。
在适用情况下,使用访问控制列表实施限制。
设置扩展会话超时,并设置特权级别。
针对交换机的本地和远程访问,使用验证、授权和记帐功能。
在非常安全的环境中使用这些服务,因为它们由证书和其他形式的强加密保护,可以保护通道:
Active Directory
LDAP/SSL(Lightweight Directory Access Protocol/Secure Socket Layer,轻量目录访问协议/安全套接字层)
在没有可疑恶意用户的专用安全网络上使用这些服务:
RADIUS(Remote Authentication Dial In User Service,远程身份验证拨入用户服务)
TACACS+(Terminal Access Controller Access-Control System,终端访问控制器访问控制系统)
对入侵检测系统 (Intrusion Detection System, IDS) 访问使用交换机的端口镜像功能。
实施端口安全,以基于 MAC 地址限制访问。对所有端口禁用自动中继。
有关网络安全的更多信息,请参阅 Oracle ILOM 文档库中的《Oracle ILOM 安全指南》。您可以在以下位置找到 Oracle ILOM 文档: