限制遠端網路存取
儲存體伺服器上有幾種方式可以讓您限制遠端網路存取。您可以實作由上到下的篩選規則集 (透過定義使用者帳號和來源的存取權),限制內送網路存取儲存體伺服器。您也可以根據美國國防部和 PCI-DSS 的要求,定義自訂的規則集以允許或拒絕存取。
 | 注意 - 實作非預設原則時請小心,以確保不會中斷系統的存取。當您新增個別規則時,變更會立即生效。 |
若要實作規則集,請執行此程序。
-
以 celladmin 的身分登入儲存體伺服器。
請參閱登入儲存體伺服器作業系統。
-
檢驗作用中的規則集。
# /opt/oracle.cellos/host_access_control access --status
-
將目前的規則集匯出成檔案,並另存成備份複本。
下列指令會將規則集匯出成 ASCII 文字檔:
# /opt/oracle.cellos/host_access_control access-export --file filename
-
根據您要用來建立規則集的方法,執行下列一或多個指令設定規則集:
-
若要實作可移除內送網路限制的開放規則集,請輸入:
# /opt/oracle.cellos/host_access_control access --open
-
若要實作只允許使用 SSH 內送存取的封閉規則集,請輸入:
# /opt/oracle.cellos/host_access_control access --close
-
若要修改現有的規則集,請輸入:
將目前的規則集匯出成 ASCII 文字檔:
# /opt/oracle.cellos/host_access_control access-export --file filename
使用編輯器編輯此文字檔以設定規則集。
從文字檔匯入規則集,覆寫現有的規則集:
# /opt/oracle.cellos/host_access_control access-import --file filename
-
分別新增特定規則:
此方法根據下列參數包含允許和拒絕存取:
-
使用者名稱 – 有效值包括關鍵字 all,或是一或多個有效的本機帳號使用者名稱。
-
來源 – 有效值包括關鍵字 all,或是描述系統存取來源的個別項目,包括來自主控台、虛擬主控台、Oracle ILOM、IP 位址、網路位址、主機名稱或 DNS 網域。
在以下範例中,當連線是從 trustedhost.example.org 主機起始,或從 .trusted.domain.com 網域內的任何主機起始時,授予 celladmin 使用者存取儲存體伺服器。
# /opt/oracle.cellos/host_access_control access --add --user celladmin \ --origins trustedhost.example.org,.trusted.domain.com
-
-
若要實作可移除內送網路限制的開放規則集,請輸入: