请遵循以下准则来保护对系统的本地和远程访问:
实施端口安全性,以基于 MAC 地址限制访问。对所有端口禁用自动中继。
只允许使用 SSH(而非 Telnet)从特定 IP 地址进行远程配置。Telnet 以明文形式传递用户名和密码,这可能使 LAN 段上的每个人都能看到登录凭据。为 SSH 设置强密码。
配置并使用第 3 版 (v3) 的 SNMP 来提供安全传输。v1 和 v2c 版的 SNMP 不安全(以未加密的文本形式传输验证数据)。
如果必须使用 SNMP,请将默认的 SNMP 团体字符串 (PUBLIC) 更改为加强的团体字符串。攻击者可以查询团体以绘制非常完整的网络图,并可能修改管理信息库 (management information base, MIB) 值。
除非绝对必要,否则不要启用 SNMP set 请求。如果启用,请创建具有只读和读写权限的单独的 SNMP v3 用户。
始终在通过 Web 接口访问 SP 或 SCP 后注销。
禁用不使用的或不必要的服务,如 TCP 小服务器。仅启用必要的服务并安全地配置这些服务。
禁用不使用的 IPMI 服务。IPMI 协议是一种不安全的 SP 访问方式。
禁用 HTTP 服务,代之以使用 HTTPS。在有些情况下,可能必须临时启用 HTTP 以兼容 Java。请根据情况慎重进行此操作。
禁用不使用的交换机端口。