Go to main content

Guía de seguridad de Oracle SuperCluster serie M7

Salir de la Vista de impresión

Actualización: Febrero de 2016
 
 

Creación de zonas globales inmutables

La protección contra alteraciones mediante inmutabilidad permite a las zonas globales y no globales crear un entorno de funcionamiento resistente y de alta integridad dentro del cual los servidores de cálculo de SuperCluster operan sus propios servicios. Las zonas inmutables se basan en las capacidades de seguridad inherentes de las zonas globales y no globales de Oracle Solaris, y garantizan que (algunos o todos) los directorios y los archivos del sistema operativo no se podrán cambiar (sin intervención del administrador). La aplicación de esta postura de solo lectura ayuda a evitar cambios no autorizados, promueve procedimientos de gestión de cambios más eficaces y desalienta la inyección de malware basada en núcleo y usuario.

Notas -  Una vez que se ha configurado la zona inmutable, no se puede actualizar de otra manera que no sea mediante el inicio de sesión en la ruta de confianza o cuando el sistema se reinicia mediante el modo de escritura con el comando reboot -- -w.

Si bien siempre debe confirmar que el software de la aplicación funciona de manera esperada en un entorno inmutable, tenga en cuenta que la ejecución correcta de las instancias de Oracle Database y los clusters de Oracle RAC se verifica dentro de las zonas no globales inmutables de Oracle Solaris.

  1. Inicie sesión en la zona global de Oracle Solaris (dominio dedicado, dominio raíz o dominio de E/S) como superusuario.

    Consulte Inicio de sesión en un servidor de cálculo y cambio de la contraseña por defecto.

  2. Modifique la configuración de la zona global de Oracle Solaris mediante el ajuste de la propiedad file-mac-profile. 
    # zonecfg -z global set file-mac-profile=fixed-configuration
zonecfg:global> commit
  3. Reinicie la zona global de Oracle Solaris para que se apliquen los cambios. Inicie sesión en el dominio mediante la consola de ILOM.
  4. Inicie la consola de la ruta de confianza de la zona global inmutable.

    Cuando se configura la zona global inmutable, es importante introducir el inicio de sesión de la consola mediante una de estas secuencias de salto:

    • Consola gráfica: F1-A

    • Consola serie: <Break> o la secuencia de salto alternativa (CR~ Ctrl-b)

    trusted path console login:
  5. Inicie sesión en la zona global del dominio de E/S y asuma el rol root para llevar a cabo actualizaciones específicas en el sistema, a continuación reinicie el sistema para regresarlo al modo de solo lectura. 
    # reboot
Copyright © 2016, Oracle y/o sus filiales. Todos los derechos reservados. 
Anterior
Siguiente