Go to main content

Guide de sécurité des serveurs Oracle SuperCluster série M7

Quitter la vue de l'impression

» ...Documentation Home » Oracle SuperCluster M7 Series Documentation ... » Guide de sécurité des serveurs ... » Sécurisation des serveurs de calcul » Sécurisation de la configuration du serveur de ... » Activation de la protection (usurpation ...

Mis à jour : Février 2016

Guide de sécurité des serveurs Oracle SuperCluster série M7

Informations sur le document

Utilisation de cette documentation

Présentation des principes de sécurité

Vérification de la configuration de sécurité par défaut

Sécurisation du matériel

Sécurisation d'Oracle ILOM

Sécurisation des serveurs de calcul

Connexion à un serveur de calcul et modification du mot de passe par défaut

Comptes et mots de passe par défaut (serveurs de calcul)

Identification de la version du logiciel SuperCluster

Configuration du service SSH (Secure Shell)

Vérification du rôle root

Services réseau exposés par défaut (serveurs de calcul)

Sécurisation de la configuration du serveur de calcul

Activation du service intrd

Désactivation des services inutiles (serveurs de calcul)

Activation du multihébergement strict

Activation de la fonction ASLR

Configuration des connexions TCP

Définition des journaux de l'historique du mot de passe et des politiques de mot de passe pour la conformité PCI

Vérification des droits d'accès appropriés pour les répertoires de base des utilisateurs

Activation du pare-feu IP Filter

Vérification de l'utilisation exclusive de fichiers locaux par les services de noms

Activation des services sendmail et NTP

Désactivation de GSS (sauf en cas d'utilisation de Kerberos)

Définition du sticky bit pour les fichiers inscriptibles par tous

Protection des dumps noyau

Application de piles non exécutables

Activation d'un espace de swap chiffré

Activation de l'audit

Activation de la protection (usurpation d'adresse) de la liaison de données sur des zones globales

Activation de la protection (usurpation d'adresse) de la liaison de données sur des zones non globales

Création de jeux de données ZFS chiffrés

(Facultatif) Définition d'une phrase de passe pour l'accès au keystore

Création de zones globales immuables

Configuration de zones non globales immuables

Activation de la fonction sécurisée Verified Boot (CLI d'Oracle ILOM)

Fonction sécurisée Verified Boot (interface Web d'Oracle ILOM)

Ressources supplémentaires du serveur de calcul

Sécurisation de l'appareil de stockage ZFS

Sécurisation des serveurs Exadata Storage Server

Sécurisation des commutateurs IB et Ethernet

Audit de conformité

Sécurisation des systèmes SuperCluster série M7

Langue :

Activation de la protection (usurpation d'adresse) de la liaison de données sur des zones globales

La protection de la liaison de données Oracle Solaris empêche le réseau de subir d'éventuels dommages pouvant être provoqués par des machines virtuelles invitées malveillantes.

L'activation de la configuration d'usurpation d'adresse à des fins d'espionnage améliore les performances du réseau en permettant au trafic du réseau de l'environnement virtuel d'être isolé du trafic général envoyé ou reçu par le système hôte. La protection de la liaison empêche le réseau de subir des dommages pouvant être provoqués par des machines virtuelles invitées potentiellement malveillantes. Cette fonction offre une protection contre les menaces de base suivantes :

Usurpation d'adresse IP et MAC
Usurpation de trame de niveau 2 telle que les attaques BPDU (Bridge Protocol Data Unit)

Connectez-vous à l'un des serveurs de calcul et accédez à la console hôte en tant que superutilisateur.
Voir Connexion à un serveur de calcul et modification du mot de passe par défaut.

Définissez la protection de la liaison.

# dladm set-linkprop -p protection=mac-nospoof,restricted,ip-nospoof,dhcp-nospoof net0

Confirmez la configuration.

# dladm show-linkprop -p protection net0
LINK         PROPERTY     PERM     VALUE         EFFECTIVE         DEFAULT     POSSIBLE
net0         protection     rw     mac-nospoof   mac-nospoof        --         mac-nospoof,
                                   restricted    restricted         --         restricted,
                                   ip-nospoof    ip-nospoof         --         ip-nospoof,    
                                   dhcp-nospoof  dhcp-nospoof       --         dhcp-nospoof

Définissez les adresses IP autorisées sur la liaison.

# dladm set-linkprop -p allowed-ips=10.0.0.1,10.0.0.2 net0

Copyright © 2016, Oracle et/ou ses affiliés. Tous droits réservés.