Limitation de l'accès réseau à distance
Vous disposez de plusieurs méthodes pour limiter l'accès réseau à distance sur des serveurs de stockage. Vous pouvez restreindre l'accès réseau entrant au serveur de stockage en implémentant un ensemble de règles de filtrage descendant qui définit l'accès selon l'origine et le compte de l'utilisateur. Vous pouvez également définir un ensemble de règles personnalisées pour accorder ou refuser l'accès en fonction des exigences du Ministère de la Défense des Etats-Unis et des normes PCI-DSS.
 | Mise en garde - Faites preuve de prudence en implémentant des stratégies autres que par défaut pour éviter toute interruption d'accès au système. Lorsque vous ajoutez de nouvelles règles individuelles, les modifications prennent effet immédiatement. |
Pour implémenter un ensemble de règles, procédez comme suit.
-
Connectez-vous au serveur de stockage en tant qu'utilisateur celladmin.
Voir Connexion au système d'exploitation des serveurs de stockage.
-
Examinez l'ensemble de règles actif.
# /opt/oracle.cellos/host_access_control access --status
-
Exportez l'ensemble de règles actuel dans un fichier et enregistrez-le en tant que copie de sauvegarde.
La commande suivante exporte l'ensemble de règles dans un fichier texte ASCII :
# /opt/oracle.cellos/host_access_control access-export --file filename
-
Configurez l'ensemble de règles en exécutant une ou plusieurs des commandes suivantes, selon la méthode que vous souhaitez utiliser pour le créer :
-
Pour implémenter un ensemble de règles ouvert qui supprime les restrictions réseau entrantes, entrez :
# /opt/oracle.cellos/host_access_control access --open
-
Pour implémenter un ensemble de règles fermé qui autorise uniquement l'accès entrant avec SSH, entrez :
# /opt/oracle.cellos/host_access_control access --close
-
Pour modifier l'ensemble de règles existant, entrez :
Exportez l'ensemble de règles actuel dans un fichier texte ASCII :
# /opt/oracle.cellos/host_access_control access-export --file filename
Utilisez un éditeur pour modifier le fichier texte afin de configurer l'ensemble de règles.
Importez l'ensemble de règles du fichier texte, en remplaçant l'existant :
# /opt/oracle.cellos/host_access_control access-import --file filename
-
Pour ajouter des règles spécifiques individuellement :
Cette méthode permet d'accorder et de refuser l'accès en fonction des paramètres suivants :
-
Nom d'utilisateur – Les valeurs valides incluent le mot clé all ou un ou plusieurs noms d'utilisateur valides pour un compte local.
-
Origine – Les valeurs valides incluent le mot clé all ou des entrées individuelles qui décrivent la source de l'accès au système, notamment la console, la console virtuelle, Oracle ILOM, l'adresse IP, l'adresse réseau, le nom d'hôte ou le domaine DNS.
Dans cet exemple, l'accès au serveur de stockage est accordé à l'utilisateur celladmin lorsque la connexion est initiée à partir de l'hôte trusted.example.org, ou de tout hôte du domaine .trusted.domain.com.
# /opt/oracle.cellos/host_access_control access --add --user celladmin \ --origins trustedhost.example.org,.trusted.domain.com
-
-
Pour implémenter un ensemble de règles ouvert qui supprime les restrictions réseau entrantes, entrez :