Go to main content

Guida per la sicurezza di Oracle SuperCluster M7 Series

Uscire dalla vista stampa

Aggiornato: Febbraio 2016
 
 

Creare zone globali immutabili

L'antimanomissione con immutabilità consente alle zone globali e non globali di creare un ambiente operativo resiliente e altamente integrato all'interno del quale i server di calcolo SuperCluster fanno funzionare i relativi servizi. Basate sulle capacità di sicurezza intrinseca delle zone globali e non globali di Oracle Solaris, le zone immutabili assicurano che non sia possibile modificare directory (alcune o tutte) e file (alcuni o tutti) del sistema operativo senza l'intervento dell'amministratore. L'applicazione di questa impostazione di sola lettura consente di evitare modifiche non autorizzate, promuove pratiche di gestione delle modifiche più robuste e rimuove l'inserimento di malware basato su kernel e utente.

Nota -  Una volta configurata, la zona immutabile può essere aggiornata solo tramite login con percorso sicuro o quando viene eseguito il reboot del sistema con la modalità scrivibile utilizzando reboot -- -w.

Anche se occorre sempre verificare che il funzionamento del software applicativo sia quello previsto in un ambiente immutabile, tenere presente che la corretta esecuzione delle istanze Oracle Database e dei cluster Oracle RAC viene verificata all'interno delle zone non globali immutabili di Oracle Solaris.

  1. Eseguire il login alla zona globale di Oracle Solaris (dominio dedicato, dominio root o dominio di I/O) come superutente.

    Vedere Eseguire il login al server di calcolo e modificare la password predefinita.

  2. Modificare la configurazione della zona globale di Oracle Solaris impostando la proprietà file-mac-profile. 
    # zonecfg -z global set file-mac-profile=fixed-configuration
zonecfg:global> commit
  3. Eseguire il reboot della zona globale di Oracle Solaris per rendere effettive le modifiche. Eseguire il login al dominio tramite la console ILOM.
  4. Avviare la console del percorso sicuro della zona globale immutabile.

    Poiché la zona globale immutabile è stata configurata, è importante immettere le informazioni di login alla console utilizzando una di queste sequenze di interruzione:

    • Console grafica: F1-A

    • Console seriale: <Interruzione> o sequenza di interruzione alternativa (CR~ Ctrl-b)

    trusted path console login:
  5. Eseguire il login alla zona globale del dominio di I/O e assumere il ruolo root per eseguire eventuali aggiornamenti specifici al sistema, quindi eseguire il reboot del sistema per riportarlo in modalità di sola lettura. 
    # reboot
Copyright © 2016, Oracle e/o relative consociate. Tutti i diritti riservati. 
Precedente
Successivo