Go to main content

Guía de seguridad de Oracle SuperCluster serie M7

Salir de la Vista de impresión

» ...Documentation Home » Oracle SuperCluster M7 Series Documentation ... » Guía de seguridad de Oracle ... » Protección de servidores de cálculo » Endurecimiento de la configuración de ... » Activación de protección de enlace de datos ...

Actualización: Febrero de 2016

Guía de seguridad de Oracle SuperCluster serie M7

Información del documento

Uso de esta documentación

Descripción de los principios de seguridad

Revisión de la configuración de seguridad por defecto

Protección del hardware

Protección de Oracle ILOM

Protección de servidores de cálculo

Inicio de sesión en un servidor de cálculo y cambio de la contraseña por defecto

Cuentas y contraseñas por defecto (servidores de cálculo)

Determinación de la versión del software SuperCluster

Configuración del servicio de shell seguro

Verificación de que root es un rol

Servicios de red expuestos por defecto (servidores de cálculo)

Endurecimiento de la configuración de seguridad del servidor de cálculo

Activación del servicio intrd

Desactivación de servicios innecesarios (servidores de cálculo)

Activación de varios orígenes estrictos

Activación de la ASLR

Configuración de conexiones de TCP

Configuración de logs de historial de contraseñas y políticas de contraseñas para conformidad con PCI

Cómo garantizar que los directorios de inicio tengan los permisos adecuados

Activación del firewall de filtro de IP

Cómo garantizar que los servicios de nombres solamente usen archivos locales

Activación de Sendmail y servicios de NTP

Desactivación de GSS (a menos que se use Kerberos)

Configuración bits de permanencia para archivos con permiso general de escritura

Protección de volcados de núcleo

Aplicación de pilas no ejecutables

Activación del espacio de intercambio cifrado

Activación de la auditoría

Activación de protección de enlace de datos (falsificación) en zonas globales

Activación de protección de enlace de datos (falsificación) en zonas no globales

Creación de juegos de datos ZFS

(Opcional) Configuración de frase de contraseña para acceso del almacén de claves

Creación de zonas globales inmutables

Configuración de zonas no globales inmutables

Activación del inicio verificado seguro (CLI de Oracle ILOM)

Inicio verificado seguro (interfaz web de Oracle ILOM)

Recursos de servidor de cálculo adicionales

Protección de ZFS Storage Appliance

Protección de servidores Exadata Storage Server

Protección de conmutadores IB y Ethernet

Auditoría de conformidad

Cómo mantener la seguridad de los sistemas SuperCluster serie M7

Idioma:

Activación de protección de enlace de datos (falsificación) en zonas globales

La protección de enlace de datos de Oracle Solaris evita posibles daños causados por máquinas virtuales malintencionadas en la red.

La activación de la configuración de corrección de búsqueda mejora el rendimiento de la red, ya que permite que el tráfico de red del entorno virtual sea aislado del tráfico mayor recibido o enviado por el sistema host. La protección de enlace evita los daños que pueden ser causados por posibles máquinas virtuales malintencionadas en la red. La función ofrece protección contra las siguientes amenazas básicas:

Falsificación de IP y MAC
Falsificación de marco L2, como los ataques de unidad de datos del protocolo de puente (BPDU)

Inicie sesión en uno de los servidores de cálculo y acceda a la consola del host como superusuario.
Consulte Inicio de sesión en un servidor de cálculo y cambio de la contraseña por defecto.

Configure la protección de enlaces.

# dladm set-linkprop -p protection=mac-nospoof,restricted,ip-nospoof,dhcp-nospoof net0

Confirme la configuración.

# dladm show-linkprop -p protection net0
LINK         PROPERTY     PERM     VALUE         EFFECTIVE         DEFAULT     POSSIBLE
net0         protection     rw     mac-nospoof   mac-nospoof        --         mac-nospoof,
                                   restricted    restricted         --         restricted,
                                   ip-nospoof    ip-nospoof         --         ip-nospoof,    
                                   dhcp-nospoof  dhcp-nospoof       --         dhcp-nospoof

Defina las IP permitidas en el enlace.

# dladm set-linkprop -p allowed-ips=10.0.0.1,10.0.0.2 net0

Copyright © 2016, Oracle y/o sus filiales. Todos los derechos reservados.