请遵循以下准则来保护对系统的本地和远程访问:
只允许使用 SSH(而非 Telnet)从特定 IP 地址进行远程配置。Telnet 以明文形式传递用户名和密码,这可能使 LAN 段上的每个人都能看到登录凭据。为 SSH 设置强密码。
使用简单网络管理协议 (Simple Network Management Protocol, SNMP) 版本 3 来提供安全传输。SNMP 的早期版本不安全,它们以未加密文本形式传输验证数据。
如果必须使用 SNMP,请将默认的 SNMP 团体字符串更改为加强的团体字符串。某些产品将 PUBLIC 设置为默认 SNMP 团体字符串。攻击者可以查询团体以绘制非常完整的网络图,并可能修改管理信息库 (management information base, MIB) 值。
如果系统控制器使用浏览器界面,请始终在使用后进行注销。
禁用不必要的网络服务,如传输控制协议 (Transmission Control Protocol, TCP) 或超文本传输协议 (Hypertext Transfer Protocol, HTTP)。启用必要的网络服务并以安全方式配置这些服务。
使用 LDAP 访问系统时,遵循 LDAP 安全措施。请参阅《Oracle ILOM 安全指南》:http://www.oracle.com/goto/ILOM/docs。
创建标题以指出禁止未经授权的访问。
在适用的情况下使用访问控制列表。
设置扩展会话超时,并设置特权级别。
针对交换机的本地和远程访问,使用验证、授权和记帐 (Authentication, Authorization, and Accounting, AAA) 功能。
如果可能,使用 RADIUS 和 TACACS+ 安全协议:
RADIUS(Remote Authentication Dial In User Service,远程验证拨入用户服务)是一种客户机/服务器协议,可保护网络免受未经授权的访问。
TACACS+(Terminal Access Controller Access-Control System,终端访问控制器访问控制系统)是一种协议,它允许远程访问服务器与验证服务器通信,以确定用户是否有权访问网络。
对入侵检测系统 (Intrusion Detection System, IDS) 访问使用交换机的端口镜像功能。
实施端口安全以基于 MAC 地址限制访问。对所有端口禁用自动中继。