リモートネットワークアクセスの制限
ストレージサーバー上のリモートネットワークアクセスは、複数の方法を使用して制限できます。ユーザーアカウントと起点によるアクセスを定義するトップダウン型のフィルタリングルールセットを実装すると、ストレージサーバーへのインバウンドネットワークアクセスを制限できます。米国国防総省および PCI-DSS の要件に従って、アクセスを許可または拒否するカスタムのルールセットを定義することもできます。
 | 注意 - デフォルト以外のポリシーを実装するときは、システムへのアクセスが中断されないように注意してください。新しいルールを個別に追加すると、変更がすぐに有効になります。 |
ルールセットを実装するには、この手順を実行します。
-
celladmin としてストレージサーバーにログインします。
ストレージサーバー OS へのログインを参照してください。
-
アクティブなルールセットを調査します。
# /opt/oracle.cellos/host_access_control access --status
-
現在のルールセットをファイルにエクスポートし、バックアップコピーとして保存します。
このコマンドは、ルールセットを ASCII テキストファイルにエクスポートします。
# /opt/oracle.cellos/host_access_control access-export --file filename
-
ルールセットを作成する際に使用する方法に基づいて、次のコマンドの 1 つ以上を実行してルールセットを構成します。
-
インバウンドネットワークの制限を削除する開いたルールセットを実装するには、次のように入力します。
# /opt/oracle.cellos/host_access_control access --open
-
SSH を使用したインバウンドアクセスのみを許可する閉じたルールセットを実装するには、次のように入力します。
# /opt/oracle.cellos/host_access_control access --close
-
既存のルールセットを変更するには、次のように入力します。
現在のルールセットを ASCII テキストファイルにエクスポートします。
# /opt/oracle.cellos/host_access_control access-export --file filename
エディタを使用してテキストファイルを編集して、ルールセットを構成します。
テキストファイルからルールセットをインポートして、既存のルールセットをオーバーライドします。
# /opt/oracle.cellos/host_access_control access-import --file filename
-
特定のルールを個別に追加するには、次のように入力します。
この方法では、次のパラメータに基づいてアクセスが許可および拒否されます。
-
ユーザー名 – 有効な値には、キーワード all または 1 つ以上の有効なローカルアカウントユーザー名が含まれます。
-
起点 – 有効な値には、キーワード all またはシステムアクセスのソース (コンソール、仮想コンソール、Oracle ILOM、IP アドレス、ネットワークアドレス、ホスト名、または DNS ドメインを含む) を記述する個別のエントリが含まれます。
この例では、ホスト trusted.example.org または .trusted.domain.com ドメイン内の任意のホストから接続が開始されたときに、ストレージサーバーへのアクセス権が celladmin ユーザーに付与されます。
# /opt/oracle.cellos/host_access_control access --add --user celladmin \ --origins trustedhost.example.org,.trusted.domain.com
-
-
インバウンドネットワークの制限を削除する開いたルールセットを実装するには、次のように入力します。