ストレージサーバー上のリモートネットワークアクセスは、複数の方法を使用して制限できます。ユーザーアカウントと起点によるアクセスを定義するトップダウン型のフィルタリングルールセットを実装すると、ストレージサーバーへのインバウンドネットワークアクセスを制限できます。米国国防総省および PCI-DSS の要件に従って、アクセスを許可または拒否するカスタムのルールセットを定義することもできます。
注意 - デフォルト以外のポリシーを実装するときは、システムへのアクセスが中断されないように注意してください。新しいルールを個別に追加すると、変更がすぐに有効になります。 |
ルールセットを実装するには、この手順を実行します。
ストレージサーバー OS へのログインを参照してください。
# /opt/oracle.cellos/host_access_control access --status
このコマンドは、ルールセットを ASCII テキストファイルにエクスポートします。
# /opt/oracle.cellos/host_access_control access-export --file filename
# /opt/oracle.cellos/host_access_control access --open
# /opt/oracle.cellos/host_access_control access --close
現在のルールセットを ASCII テキストファイルにエクスポートします。
# /opt/oracle.cellos/host_access_control access-export --file filename
エディタを使用してテキストファイルを編集して、ルールセットを構成します。
テキストファイルからルールセットをインポートして、既存のルールセットをオーバーライドします。
# /opt/oracle.cellos/host_access_control access-import --file filename
この方法では、次のパラメータに基づいてアクセスが許可および拒否されます。
ユーザー名 – 有効な値には、キーワード all または 1 つ以上の有効なローカルアカウントユーザー名が含まれます。
起点 – 有効な値には、キーワード all またはシステムアクセスのソース (コンソール、仮想コンソール、Oracle ILOM、IP アドレス、ネットワークアドレス、ホスト名、または DNS ドメインを含む) を記述する個別のエントリが含まれます。
この例では、ホスト trusted.example.org または .trusted.domain.com ドメイン内の任意のホストから接続が開始されたときに、ストレージサーバーへのアクセス権が celladmin ユーザーに付与されます。
# /opt/oracle.cellos/host_access_control access --add --user celladmin \ --origins trustedhost.example.org,.trusted.domain.com