邏輯網域管理程式

语言：

邏輯網域管理程式在控制網域中執行，並可用於設定 Hypervisor 以及建立和設定所有網域和其硬體資源。請記錄和監視邏輯網域管理程式的使用狀況。

威脅：未經授權使用配置公用程式

攻擊者可能會控制管理員的使用者 ID，或來自不同群組的管理員可能會在未經授權的情況下存取其他系統。

評估：未經授權使用配置公用程式

透過實作妥善維護的識別管理，確認管理員沒有不必要的系統存取權。另外，請實作嚴格細分的存取控制和其他措施，例如雙人管理規則。

對策：實施雙人管理規則

請考慮為邏輯網域管理程式實作雙人管理規則並使用權限實作其他管理工具。Enforcing a Two Man Rule Using Solaris 10 RBAC。此規則可保護系統免於社交工程攻擊、管理帳戶盜用和人為錯誤。

對策：針對邏輯網域管理程式使用權限

透過使用 ldm 指令的權限，您可以實作細分的存取控制並維持完整的回溯性。如需設定權限的相關資訊，請參閱Oracle VM Server for SPARC 3.2 Administration Guide 。使用權限有助於避免人為錯誤，因為並非所有管理員都可使用 ldm 指令的所有功能。

對策：強化邏輯網域管理程式

停用不必要的網域管理程式服務。邏輯網域管理程式提供網域存取、監視和移轉的網路服務。停用網路服務有助於減少邏輯網域管理程式正常運作時的受攻擊面。此方法可防禦拒絕服務攻擊和其他濫用這些網路服務的嘗試。

備註 - 停用網域管理程式服務有助於減少受攻擊面，但這樣做對特定配置所造成的副作用卻是無法預知的。

在下列任一網路服務未使用時將其停用：

TCP 連接埠 8101 上的移轉服務

若要停用此服務，請參閱 ldmd(1M) 線上手冊中的 ldmd/incoming_migration_enabled 與 ldmd/outgoing_migration_enabled 特性。
TCP 連接埠 6482 上的 Extensible Messaging and Presence Protocol (XMPP) 支援

如需如何停用此服務的相關資訊，請參閱Oracle VM Server for SPARC 3.2 Administration Guide 中的XML Transport。

請注意，停用 XMPP 會導致您無法使用某些關鍵的 Oracle VM Server for SPARC 功能，例如網域移轉、記憶體動態重新設定和 ldm init-system 指令。停用 XMPP 也會導致 Oracle VM 管理程式或 Ops Center 無法管理系統。
UDP 連接埠 161 上的簡易網路管理協定 (SNMP)
- 啟用 SNMP 服務以使用 Oracle VM Server for SPARC MIB。安全地安裝 Oracle VM Server for SPARC MIB。請參閱Oracle VM Server for SPARC 3.2 Administration Guide 中的How to Install the Oracle VM Server for SPARC MIB Software Package與Oracle VM Server for SPARC 3.2 Administration Guide 中的Managing Security。
- 停用 SNMP 服務。如需如何停用此服務的相關資訊，請參閱Oracle VM Server for SPARC 3.2 Administration Guide 中的How to Remove the Oracle VM Server for SPARC MIB Software Package。
多點傳送位址 239.129.9.27 與連接埠 64535 上的尋找服務

備註 - 請注意，ldmd 常駐程式也會使用此尋找機制來偵測自動指派 MAC 位址時所發生的衝突。若您停用尋找服務，MAC 位址衝突偵測功能將無法運作，而自動 MAC 位址配置也將因此無法正確運作。

您不能在邏輯網域管理程式常駐程式 (ldmd) 執行時停用此服務。請使用 Oracle Solaris 的 IP 篩選功能封鎖此服務的存取，以儘可能減少邏輯網域管理程式的受攻擊面。封鎖存取可防止公用程式遭到未經授權的使用，如此可有效防禦拒絕服務攻擊和其他濫用這些網路服務的嘗試。請參閱Oracle Solaris Administration: IP Services 中的第 20 章IP Filter in Oracle Solaris (Overview)與Oracle Solaris Administration: IP Services 中的Using IP Filter Rule Sets。

另請參閱對策：保護 ILOM。

對策：稽核邏輯網域管理程式

保護邏輯網域管理程式對整體系統安全而言極為重要。必須記錄對 Oracle VM Server for SPARC 配置的所有變更，以追蹤惡意的活動。定期掃描稽核記錄，並將記錄複製到獨立系統以安全地封存。如需詳細資訊，請參閱Oracle VM Server for SPARC 3.2 Administration Guide 中的第 2 章Oracle VM Server for SPARC Security。