Go to main content

Oracle SuperCluster M7 Series - Sicherheitshandbuch

Druckansicht beenden

Aktualisiert: Februar 2016
 
 

Erstellen unveränderlicher globaler Zonen

Durch den Schutz vor Manipulationen (Tamper-Proofing) durch Unveränderlichkeit können globale und nicht-globale Zonen eine robuste Betriebsumgebung mit hoher Integrität erstellen, in der SuperCluster-Rechenserver ihre eigenen Services ausführen. Aufbauend auf den inhärenten Sicherheitsfunktionen von globalen und nicht-globalen Oracle Solaris-Zonen stellen unveränderliche Zonen sicher, dass (einige oder alle) BS-Verzeichnisse und Dateien nicht (ohne Administratoreingriff) geändert werden können. Die Durchsetzung dieser schreibgeschützten Vorgehensweise kann nicht autorisierte Änderungen verhindern, stärkere Change Management-Prozeduren fördern und das Einschleusen sowohl von Kernel- als auch von benutzerbasierter Schadsoftware verhindern.

Hinweis -  Nachdem die unveränderliche Zone konfiguriert wurde, ist die Aktualisierung nur noch durch die Anmeldung über einen vertrauenswürdigen Pfad möglich, oder wenn das System im nicht schreibgeschützten Modus mit reboot -- -w neu gestartet wird.

Während Sie immer sicherstellen sollten, dass die Anwendungssoftware in einer unveränderlichen Umgebung wie erwartet ausgeführt wird, beachten Sie, dass Oracle Database-Instanzen und Oracle RAC-Cluster auf korrekte Ausführung in den unveränderlichen nicht-globalen Oracle Solaris-Zonen geprüft werden.

  1. Melden Sie sich als Superuser bei der globalen Oracle Solaris-Zone an (dedizierte Domain, Root-Domain oder I/O-Domain).

    Siehe Anmelden bei einem Rechenserver und Ändern des Standardpasswortes.

  2. Ändern Sie die Konfiguration der globalen Oracle Solaris-Zone, indem Sie die Eigenschaft file-mac-profile festlegen. 
    # zonecfg -z global set file-mac-profile=fixed-configuration
zonecfg:global> commit
  3. Starten Sie die globale Oracle Solaris-Zone neu, damit die Änderungen übernommen werden. Melden Sie sich über die ILOM-Konsole bei der Domain an.
  4. Starten Sie die Konsole für den vertrauenswürdigen Pfad der unveränderlichen globalen Zone.

    Während die unveränderliche globale Zone konfiguriert wird, muss die Anmeldung bei der Konsole mit einer dieser Break-Sequenzen eingeben werden.

    • Grafische Konsole – F1-A

    • Serielle Konsole – <Break> oder die alternative Break-Sequenz (CR~ Strg-b)

    trusted path console login:
  5. Melden Sie sich bei der globalen Zone der I/O-Domain an, und übernehmen Sie die root-Rolle zur Ausführung bestimmter Updates an dem System, danach starten Sie das System neu, damit es wieder in den schreibgeschützten Modus versetzt wird. 
    # reboot
Copyright © 2016, Oracle und/oder verbundene Unternehmen. All rights reserved. Alle Rechte vorbehalten. 
Zurück
Weiter