O Domínios Lógicos Manager é executado no domínio de controle e é usado para configurar o hypervisor, bem como para criar e configurar todos os domínios e os respectivos recursos de hardware. Certifique-se de que o uso do Domínios Lógicos Manager seja registrado e monitorado.
Um invasor poderá assumir o controle do ID de usuário de um administrador ou um administrador de um grupo diferente poderá obter acesso não autorizado a outro sistema.
Certifique-se de que o administrador não tenha acesso desnecessário a um sistema implementando um gerenciamento de identidades mantido de forma adequada. Além disso, implemente um controle de acesso estrito e preciso, bem como outras medidas, como a regra de duas pessoas.
Considere implementar uma regra de duas pessoas para o Domínios Lógicos Manager e outras ferramentas administrativas usando direitos. Enforcing a Two Man Rule Using Solaris 10 RBAC. Essa regra oferece proteção contra ataques de engenharia social, contas administrativas comprometidas e erros humanos.
O uso de direitos para o comando ldm permite implementar um controle de acesso preciso e manter total rastreabilidade. Para obter informações sobre a configuração de direitos, consulte o Oracle VM Server for SPARC 3.2 Administration Guide . O uso de direitos ajuda a proteger contra erros humanos porque nem todos os recursos do comando ldm são disponibilizados para todos os administradores.
Desative os serviços desnecessários do gerenciador de domínios. O Domínios Lógicos Manager fornece serviços de rede para acesso, monitoramento e migração de domínios. A desativação dos serviços de rede reduz a superfície de ataque do Domínios Lógicos Manager ao mínimo necessário para seu funcionamento normal. Esse cenário combate ataques de negação de serviço e outras tentativas de usar indevidamente esses serviços de rede.
Desative os seguintes serviços de rede quando eles não estiverem sendo usados:
Serviço de migração na porta TCP 8101
Para desativar esse serviço, consulte a descrição das propriedades ldmd/incoming_migration_enabled e ldmd/outgoing_migration_enabled na página man ldmd(1M).
Suporte ao protocolo XMPP (Extensible Messaging and Presence Protocol) na porta TCP 6482
Para obter informações sobre como desativar esse serviço, consulte XML Transport no Oracle VM Server for SPARC 3.2 Administration Guide .
Observe que a desativação do XMPP impedirá o uso de alguns recursos importantes do Oracle VM Server for SPARC, como migração de domínios, reconfiguração dinâmica de memória e o comando ldm init-system. Isso também impedirá que o Oracle VM Manager ou o Ops Center gerencie o sistema.
SNMP (Simple Network Management Protocol) na porta UDP 161
Determine se deseja usar o Oracle VM Server for SPARC MIB (Management Information Base) para examinar os domínios. Esse recurso exige que o serviço SNMP esteja ativado. Com base em sua escolha, siga um destes procedimentos:
Ative o serviço SNMP para usar o Oracle VM Server for SPARC MIB. Instale o Oracle VM Server for SPARC MIB com segurança. Consulte How to Install the Oracle VM Server for SPARC MIB Software Package no Oracle VM Server for SPARC 3.2 Administration Guide e Managing Security no Oracle VM Server for SPARC 3.2 Administration Guide .
Desative o serviço SNMP. Para obter informações sobre como desativar esse serviço, consulte How to Remove the Oracle VM Server for SPARC MIB Software Package no Oracle VM Server for SPARC 3.2 Administration Guide .
Serviço de descoberta no endereço multicast 239.129.9.27 e na porta 64535
Você não poderá desativar esse serviço enquanto o daemon Domínios Lógicos Manager, ldmd, estiver em execução. Em vez disso, use o recurso Filtro de IP do Oracle Solaris para bloquear o acesso a esse serviço, o que minimizará a superfície de ataque do Domínios Lógicos Manager. O bloqueio do acesso impede o uso não autorizado do utilitário, o que combate efetivamente os ataques de negação de serviço e outras tentativas de usar indevidamente esses serviços de rede. Consulte o Capítulo 20, IP Filter in Oracle Solaris (Overview), no Oracle Solaris Administration: IP Services e Using IP Filter Rule Sets no Oracle Solaris Administration: IP Services .
Consulte também Contramedida: Proteção do ILOM.
A proteção do Domínios Lógicos Manager é fundamental para a segurança do sistema geral. Todas as alterações efetuadas na configuração do Oracle VM Server for SPARC devem ser registradas para rastrear ações hostis. Verifique os logs de auditoria regularmente e copie-os para um sistema diferente para fins de arquivamento seguro. Para obter mais informações, consulte o Capítulo 2, Oracle VM Server for SPARC Security, no Oracle VM Server for SPARC 3.2 Administration Guide .