在安装和配置服务器及相关设备时,请遵循以下注意事项。
保护物理硬件的方式非常简单:限制对硬件的接近并记录序列号。
限制接近
将服务器和相关设备安装在带锁并限制随意出入的房间内。
如果设备安装在带有门锁的机架中,除非必须维修机架内的组件,否则请始终锁上机架门。
限制对 USB 控制台的访问,该控制台可提供比 SSH 连接更强大的访问功能。系统控制器、配电设备 (Power Distribution Unit, PDU) 和网络交换机之类的设备都可能有 USB 连接。
尤其要限制人员接近热插拔或热交换设备,因为这些设备可以轻易被移除。
在带锁的机柜中存储备用的现场可更换单元 (field-replaceable unit, FRU) 和客户可更换单元 (customer-replaceable unit, CRU)。仅限经授权的人员接近带锁机柜。
记录序列号
对计算机硬件的所有重要物项(如 FRU)添加安全标记。使用特殊的紫外线笔或压纹标签。
记录所有硬件的序列号。
将硬件激活密钥和许可证保存在一个安全位置,在系统出现紧急状况时系统管理员可以轻松访问该位置。打印的文档可能是证明所有权的唯一证据。
大多数硬件和软件安全都通过软件方法实施。
请参阅软件随附的文档,启用可用于软件的任何安全功能。
实施端口安全性,以基于 MAC 地址限制访问。对所有端口禁用自动中继。
对服务处理器使用专用网络,从而将其与常规网络隔离。
可以通过广域网 (Wide Area Network, WAN) 或存储区域网络 (Storage Area Network, SAN) 安全地引导系统。有关使用 WAN Boot 或 iSCSI Boot 进行安全引导的信息,请参阅适用于相应 Oracle Solaris 操作系统发行版的《Oracle Solaris 安装指南:基于网络的安装》一书。
安装新系统时更改所有默认密码。大多数类型的设备都使用默认密码(如 changeme),这些密码广为人知,从而有可能导致对设备进行未经授权的访问。
对于默认情况下可能有多个用户帐户和密码的网络交换机,更改其上的每个密码。
有关以下内容的信息,请参阅 Oracle Solaris 安全准则文档:
如何强化 Oracle Solaris
配置系统时如何使用 Oracle Solaris 安全功能
将应用程序和用户添加到系统时如何安全操作
如何保护基于网络的应用程序
可在以下位置找到 Oracle Solaris 安全准则文档 http://www.oracle.com/technetwork/indexes/documentation/index.html#sys_sw
使用 Oracle Linux OS 命令限制对软件的访问、强化 OS、使用安全功能以及保护应用程序。请参阅《Oracle Linux Security Guide for Release 6》(《Oracle Linux 发行版 6 安全指南》),网址为 http://docs.oracle.com/cd/E37670_01/E36387/html/index.html。
不同的交换机提供不同级别的端口安全功能。请参阅交换机文档,了解如何执行下列操作:
对交换机进行本地和远程访问时,使用验证、授权和记帐功能。
带外管理交换机(与数据通信隔开)。如果带外管理不可行,则专门使用一个单独的 VLAN 号进行带内管理。
对入侵检测系统 (Intrusion Detection System, IDS) 访问使用网络交换机的端口镜像功能。
脱机维护一份交换机配置文件,并且只限授权的管理员访问。该配置文件应包含每个设置的描述性注释。
如果您的交换机具有以下端口安全功能,请使用这些功能:
MAC 绑定 (MAC Locking) 涉及将一个或多个连接设备的介质访问控制 (Media Access Control, MAC) 地址与交换机的物理端口绑定。如果将交换机端口绑定到特定的 MAC 地址,超级用户将无法利用非法访问点在您的网络中创建后门。
MAC 锁定 (MAC Lockout) 会禁止将指定的 MAC 地址连接到交换机。
MAC 学习 (MAC Learning) 使用有关每个交换机端口的直接连接的知识,以便网络交换机可以基于当前连接设置安全性。
使用超级用户帐户设置和更新 OpenBoot PROM (OBP) 或其他 Oracle 固件。普通用户帐户允许用户查看固件但不允许编辑固件。Oracle Solaris OS 固件更新过程可防止进行未经授权的固件修改。
有关设置 OBP 安全变量的信息,请参阅《OpenBoot 4.x Command Reference Manual》(《OpenBoot 4.x 命令参考手册》),网址为:http://download.oracle.com/docs/cd/E19455-01/816-1177-10/cfg-var.html#pgfId-17069
您可以使用 Oracle Integrated Lights Out Manager (Oracle ILOM) 管理固件(已预先安装到某些 SPARC 服务器上)来主动保护、管理和监视系统组件。
请参阅 Oracle ILOM 文档,以更详细地了解如何设置密码、管理用户以及应用与安全相关的功能,包括安全 Shell (Secure Shell, SSH)、安全套接字层 (Secure Socket Layer, SSL) 和 RADIUS 验证,网址为:http://docs.oracle.com/cd/E37444_01/index.html
如果设置了虚拟局域网 (virtual local area network, VLAN),请记住,VLAN 会分享网络带宽,并需要其他安全措施。
定义虚拟局域网 (Virtual Local Area Network, VLAN) 以将系统的敏感群集与网络的其余部分隔开。这样可以降低用户访问这些客户机和服务器上信息的可能性。
为中继端口指定唯一本机 VLAN 号。
限制使用可通过中继传输的 VLAN,只有绝对需要时才使用。
如果可能,禁用 VLAN 中继协议 (VLAN Trunking Protocol, VTP)。否则,为 VTP 设置以下内容:管理域、密码和删改。然后将 VTP 设置为透明模式。
Infiniband (IB) 安全是指使用 IB 网状结构网络以及其中运行的子网管理器 (Subnet Manager, SM) 的功能。确保连接到 IB 网状结构网络的所有 IB 主机都是安全的。IB 网状结构网络的安全性与连接到它的最低安全性 IB 主机相同。对主机具有 root 访问权限的攻击者能够攻陷整个 IB 网状结构网络。(就此而言,物理访问还是很重要的-能够将自己主机连接到 IB 交换机的攻击者能够损坏 IB 网状结构网络的安全性。)
在虚拟化环境中使用 Oracle 双端口 EDR InfiniBand 适配器或 Oracle 双端口 QDR InfiniBand 适配器 M4 时,要特别注意物理域的安全,因为受影响的物理域可能会导致所有虚拟机被暴露并易受攻击。
有关保护 InfiniBand 以及受支持交换机(还运行 SM)的安全的更多信息,请参见适用于相应交换机的 InfiniBand 交换机安全指南:
对于 Sun Datacenter InfiniBand Switch 36,请参见《Sun Datacenter InfiniBand Switch 36 Hardware Security Guide》(《Sun Datacenter InfiniBand Switch 36 硬件安全指南》),网址为:http://docs.oracle.com/cd/E36265_01/
对于 Sun Network QDR InfiniBand Gateway Switch,请参见《Sun Network QDR InfiniBand Gateway Switch Hardware Security Guide》(《Sun Network QDR InfiniBand Gateway Switch 安全指南》),网址为:http://docs.oracle.com/cd/E36256_01/
对于 IB 交换机和 Oracle 虚拟网络 InfiniBand 交换机上的 SM,请参见:http://docs.oracle.com/cd/E38500_01/
如果可能,设置 RADIUS 和 TACACS+ 访问协议:RADIUS(Remote Authentication Dial In User Service,远程验证拨入用户服务)是一种客户机/服务器协议,可保护网络免受未经授权的访问。
TACACS+(Terminal Access Controller Access-Control System,终端访问控制器访问控制系统)是一种协议,它允许远程访问服务器与验证服务器通信,以确定用户是否有权访问网络。
限制超级用户帐户 (root) 的使用。该帐户拥有特权,如果被误用,会对安全造成不利影响。尽可能改用特权较低的其他用户帐户。这适用于主机操作系统 (Solaris, Linux) 以及 Oracle ILOM。
在适用的情况下使用访问控制列表。
针对长期会话设置超时。
设置特权级别。
创建一个系统标题以提醒用户未经授权的访问是被禁止的。
启用日志记录并向专用安全日志主机发送日志。
使用 NTP 和时间戳配置日志记录以包含准确的时间信息。