Go to main content

Oracle SuperCluster M7 Series - Sicherheitshandbuch

Druckansicht beenden

Aktualisiert: Februar 2016
 
 

Begrenzen des Remote-Netzwerkzugriffs

Es gibt verschiedene Möglichkeiten, den Remote-Netzwerkzugriff bei den Storage Servern zu begrenzen. Sie können den eingehenden Netzwerkzugriff auf den Storage Server begrenzen, indem Sie ein Top-Down-Filterungsregelset implementieren, das den Zugriff nach Benutzerkonto und Ursprung definiert. Sie können auch ein benutzerdefiniertes Regelset definieren, mit dem der Zugriff gemäß den Sicherheitsbestimmungen des US-Verteidigungsministeriums und den PCI-DSS-Sicherheitsbestimmungen zugelassen oder abgelehnt wird.

Caution

Vorsicht  -  Gehen Sie bei der Implementierung von nicht standardmäßigen Richtlinien mit Vorsicht vor, um sicherzustellen, dass der Zugriff auf das System nicht unterbrochen wird. Wenn Sie neue individuelle Regeln hinzufügen, werden die Änderungen sofort wirksam.

Führen Sie die folgenden Schritte aus, um ein Regelset zu implementieren.

  1. Melden Sie sich als celladmin bei dem Storage Server an.

    Siehe Anmelden bei Storage Server-BS.

  2. Prüfen Sie das aktive Regelset. 
    # /opt/oracle.cellos/host_access_control access --status
  3. Exportieren Sie das aktuelle Regelset in eine Datei, und speichern Sie es als Backupkopie.

    Dieser Befehl exportiert das Regelset in eine ASCII-Textdatei.

    # /opt/oracle.cellos/host_access_control access-export --file filename
  4. Konfigurieren Sie das Regelset, indem Sie einen oder mehrere dieser Befehle ausführen, je nach Methode, mit der Sie das Regelset erstellen möchten.
    • Zur Implementierung eines offenen Regelsets, das die Einschränkungen für den eingehenden Netzwerkverkehr entfernt, geben Sie Folgendes ein: 
      # /opt/oracle.cellos/host_access_control access --open
    • Zur Implementierung eines geschlossenen Regelsets, das den eingehenden Zugriff nur mit SSH zulässt, geben Sie Folgendes ein: 
      # /opt/oracle.cellos/host_access_control access --close
    • Zur Änderung des vorhandenen Regelsets geben Sie folgendes ein:

      Exportieren Sie das aktuelle Regelset in eine ASCII-Textdatei.

      # /opt/oracle.cellos/host_access_control access-export --file filename

      Verwenden Sie einen Editor, um die Textdatei zur Konfiguration des Regelsets zu konfigurieren.

      Importieren Sie das Regelset aus der Textdatei, und überschreiben Sie dabei das vorhandene Regelset:

      # /opt/oracle.cellos/host_access_control access-import --file filename
    • So fügen Sie spezifische Regeln individuell hinzu:

      Mit dieser Methode kann der Zugriff basierend auf diesen Parameter zugelassen oder abgelehnt werden:

      • Benutzername – Gültige Werte umfassen entweder das Schlüsselwort all oder mindestens einen gültigen, lokalen Kontobenutzernamen.

      • Ursprung – Gültige Werte umfassen entweder das Schlüsselwort all oder einzelne Einträge, die die Quelle des Systemzugriffs beschreiben, einschließlich Konsole, virtuelle Konsole. Oracle ILOM, IP-Adresse, Netzwerkadresse, Hostname oder DNS-Domain.

      In diesem Beispiel wird der Zugriff auf den Storage Server dem Benutzer celladmin erteilt, wenn die Verbindung von dem Host trusted.example.org oder einem beliebigen Host innerhalb der Domain .trusted.domain.com ausgeht.

      # /opt/oracle.cellos/host_access_control access --add --user celladmin \
--origins trustedhost.example.org,.trusted.domain.com
Copyright © 2016, Oracle und/oder verbundene Unternehmen. All rights reserved. Alle Rechte vorbehalten. 
Zurück
Weiter