Go to main content

Guide de sécurité des serveurs Oracle SuperCluster série M7

Quitter la vue de l'impression

Mis à jour : Février 2016
 
 

Création de zones globales immuables

La résistance aux dégradations avec immutabilité permet à des zones globales et non globales de créer un environnement d'exploitation résistant, à haute intégrité, au sein duquel les serveurs de calcul SuperCluster exécutent leurs propres services. En se basant sur les fonctions de sécurité inhérentes des zones globales et non globales Oracle Solaris, les zones immuables vérifient que les fichiers et répertoires du système d'exploitation (en partie ou en totalité) ne peuvent pas être modifiés (sans intervention de l'administrateur). L'application de cette approche en lecture seule permet d'éviter les modifications non autorisées, renforce les procédures de gestion des changements et dissuade l'injection de malware au niveau de l'utilisateur et du noyau.

Remarque -  Une fois qu'une zone immuable est configurée, elle ne peut être mise à jour que par la connexion Trusted Path ou lors de la réinitialisation du système en mode inscriptible à l'aide de la commande reboot -- -w.

Alors que vous devez toujours confirmer que le logiciel de l'application fonctionne comme prévu dans un environnement immuable, l'exécution correcte des instances Oracle Database et des clusters Oracle RAC dans des zones non globales immuables Oracle Solaris est vérifiée.

  1. Connectez-vous à la zone globale Oracle Solaris (domaine dédié, domaine root ou domaine d'E/S) en tant que superutilisateur.

    Voir Connexion à un serveur de calcul et modification du mot de passe par défaut.

  2. Modifiez la configuration de la zone globale Oracle Solaris en définissant la propriété file-mac-profile. 
    # zonecfg -z global set file-mac-profile=fixed-configuration
zonecfg:global> commit
  3. Réinitialisez la zone globale Oracle Solaris pour que les modifications entrent en vigueur. Connectez-vous au domaine via la console ILOM.
  4. Démarrez la console du chemin d'accès sécurisé à la zone globale immuable.

    La zone globale immuable étant configurée, il est important de saisir les informations de connexion à la console en utilisant l'une des séquences d'interruption suivantes :

    • Console graphique – F1-A

    • Console série – <Inter> ou séquence d'interruption de remplacement (CR~ Ctrl-b)

    trusted path console login:
  5. Connectez-vous à la zone globale du domaine d'E/S et prenez le rôle root pour effectuer des mises à jour spécifiques du système, puis réinitialisez le système pour le faire repasser en mode lecture seule. 
    # reboot
Copyright © 2016, Oracle et/ou ses affiliés. Tous droits réservés. 
Précédent
Suivant