您可以使用 Oracle Integrated Lights Out Manager (ILOM) 管理韌體來主動保護、管理及監視系統元件,這個韌體已內嵌在 Oracle x86 伺服器以及 Oracle SPARC 伺服器上。視授予系統管理員的授權等級而定,這些功能可能包括關閉伺服器、建立使用者帳號、掛載遠端儲存裝置等等。
使用安全的內部信任網路。
無論您是透過本機序列埠、專用網路管理連接埠或標準資料網路連接埠建立 Oracle ILOM 實體管理連線,伺服器上的這個實體連接埠都必須一律連線至內部信任的網路,或專用的安全管理或專用網路。
絕對不要將 Oracle ILOM 服務處理器 (SP) 連線至公用網路,例如網際網路。您應該將 Oracle ILOM SP 管理流量限制在個別的管理網路上,並只對系統管理員授予存取權。
限制使用預設管理員帳號。
限制預設管理員帳號 (root) 只能在第一次登入 Oracle ILOM 時使用。此預設管理員帳號的目的只是為了協助您進行初始伺服器安裝。因此,為了確保最安全的環境,您必須在第一次設定系統時變更預設的管理員密碼 (changeme)。取得預設管理員帳號的存取權,會讓使用者無限制地存取 Oracle ILOM 的所有功能。除此之外,請為每個新 Oracle ILOM 使用者建立具有唯一密碼的使用者帳號,並指派授權等級 (使用者角色)。
請仔細思考序列埠連線至終端機伺服器時的風險。
終端機裝置不一定都會提供適當的使用者認證或授權等級,而這些認證或授權正是保護網路不會遭到惡意入侵的必要條件。若要保護您的系統不會遭到不想要的網路入侵,請勿透過任何類型的網路重新導向裝置 (例如終端機伺服器) 來建立對 Oracle ILOM 的序列連線 (序列埠),除非該伺服器具備足夠的存取控制。
此外,某些 Oracle ILOM 功能只會在使用實體序列埠時提供,例如密碼重設以及 [Preboot menu] (啟動前功能表)。使用未經認證的終端機伺服器將序列埠連線至網路,就不需要實際的存取,因而會降低與這些功能有關的安全。
存取 [Preboot menu] (啟動前功能表) 必須實際存取伺服器。
Oracle ILOM 的 [Preboot menu] (啟動前功能表) 是強大的公用程式,提供重設 Oracle ILOM 為預設值,以及在 Oracle ILOM 沒有回應時刷新韌體的方法。當 Oracle ILOM 重設完成後,使用者接著必須按下伺服器上的某個按鈕 (預設值) 或輸入密碼。「Oracle ILOM 實際存在性」特性會控制這個行為 (check_physical_presence= true)。若要在存取 [Preboot menu] (啟動前功能表) 時有最高的安全性,請勿變更預設設定 (true),如此一來,存取 [Preboot menu] (啟動前功能表) 時就一定要實際存取伺服器。
請參閱 Oracle ILOM 文件。
請參閱 Oracle ILOM 文件以瞭解關於設定密碼、管理使用者以及套用安全保護功能的詳細資訊。如需 Oracle ILOM 特定的安全準則,請參閱「Oracle ILOM 安全指南」(Oracle ILOM 文件庫中的一部分)。您可以在下列位置找到 Oracle ILOM 文件: