Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
  1. Anleitungen
  2. Marken
  3. Oracle Anleitungen
  4. Server
  5. ILOM
  6. Sicherheitshandbuch

Oracle ILOM Sicherheitshandbuch

Vorschau ausblenden
Diese Anleitung herunterladen
Inhaltsverzeichnis
Oracle ILOM - Sicherheitshandbuch
Firmware-Versionen 3.0, 3.1 und 3.2
Teilenr.: E40363-03
August 2014
Inhaltsverzeichnis
loading

Verwandte Anleitungen für Oracle ILOM

Inhaltszusammenfassung für Oracle ILOM

  • Seite 1 Oracle ILOM - Sicherheitshandbuch Firmware-Versionen 3.0, 3.1 und 3.2 Teilenr.: E40363-03 August 2014...
  • Seite 2 Lizenznehmer, sämtliche erforderlichen Maßnahmen wie Fail Safe, Backups und Redundancy zu ergreifen, um den sicheren Einsatz dieser Software oder Hardware zu gewährleisten. Oracle Corporation und ihre verbundenen Unternehmen übernehmen keinerlei Haftung für Schäden, die beim Einsatz dieser Software oder Hardware in gefährlichen Anwendungen entstehen.

  • Seite 3: Inhaltsverzeichnis

    Inhalt Verwenden dieser Dokumentation ............... 5 Sicherheitsfunktionen pro Oracle ILOM-Firmware-Version ......... 7 Best Practice-Checklisten zur Sicherheit für Oracle ILOM ........9 Sicherheitscheckliste für Server-Deployment ............9 Sicherheitscheckliste nach Server-Deployment ............ 10 Sicherheits-Best Practices zum Deployment für Oracle ILOM ......13 Sichern der physischen Verwaltungsverbindung ...........
  • Seite 4 Inhalt Sicherheits-Best Practices nach dem Deployment für Oracle ILOM ....53 Aufrechterhalten einer sicheren Verwaltungsverbindung ........53 Verhindern von nicht authentifiziertem Host-KCS-Gerätezugriff ..... 53 Interconnect-Zugriff auf bevorzugten authentifizierten Host ......54 Verwenden von IPMI 2.0-Verschlüsselung zum Sichern des Kanals ....55 Verwenden sicherer Protokolle für Remoteverwaltung ........

  • Seite 5: Verwenden Dieser Dokumentation

    Verwenden dieser Dokumentation Überblick — Das Oracle ILOM - Sicherheitshandbuch enthält Web- und CLI- ■ Informationen zu den Richtlinien für Oracle ILOM-Sicherheitsaufgaben. Verwenden Sie dieses Handbuch zusammen mit anderen Handbüchern in der Oracle ILOM- Dokumentationsbibliothek. Zielgruppe – Dieses Handbuch richtet sich an Techniker, Systemadministratoren, ■...
  • Seite 6 Feedback Feedback Auf folgender Website können Sie Feedback zu dieser Dokumentation angeben: http://www.oracle.com/goto/docfeedback Oracle ILOM - Sicherheitshandbuch • August 2014...

  • Seite 7: Sicherheitsfunktionen Pro Oracle Ilom-Firmware-Version

    Sicherheitsfunktionen pro Oracle ILOM- Firmware-Version Anhand der folgenden Tabelle können Sie die Firmware-Version ermitteln, in der eine Oracle ILOM-Sicherheitsfunktion verfügbar wurde. Verfügbarkeit der Sicherheitsfunktion Einzelheiten finden Sie unter: Firmware-Version Alle Authentifizierung und Autorisierung ■ „Sichern des Oracle ILOM-Benutzerzugriffs“ [23] Alle Dedizierte, sichere Verwaltungsverbindung ■...

  • Seite 8: Zusätzliche Sicherheitsinformationen

    ■ „Überlegungen nach dem Deployment zum Sichern des Benutzerzugriffs“ [60] Zusätzliche Sicherheitsinformationen Zusätzliche Informationen zum Sichern von Oracle ILOM finden Sie in den folgenden Abschnitten in diesem Handbuch: Best Practice-Checklisten zur Sicherheit für Oracle ILOM ■ Sicherheits-Best Practices zum Deployment für Oracle ILOM ■...

  • Seite 9: Best Practice-Checklisten Zur Sicherheit Für Oracle Ilom

    Oracle-Servern und den meisten Legacy-Sun-Servern. Systemadministratoren können mit der Benutzeroberfläche von Oracle ILOM Remoteserver-Verwaltungsaufgaben sowie Überwachungsvorgänge zur Serverintegrität in Echtzeit ausführen. Um sicherzustellen, dass die Sicherheits-Best Practices für Oracle ILOM für Ihre Umgebung implementiert werden, sollten Systemadministratoren die in den folgenden Checklisten empfohlenen Sicherheitsaufgaben berücksichtigen.

  • Seite 10: Sicherheitscheckliste Nach Server-Deployment

    Benutzeroberflächen festgelegt wurden. Sicherheit“ [35] Sicherheitscheckliste nach Server-Deployment Um zu bestimmen, welche Oracle ILOM-Sicherheitsverfahren am besten für vorhandene Server in der Umgebung geeignet sind, müssen Systemadministratoren die in der folgenden Tabelle 2, „Checkliste - Aufrechterhalten der Oracle ILOM-Sicherheit nach dem Server-Deployment “...
  • Seite 11 Sicherheitscheckliste nach Server-Deployment Checkliste - Aufrechterhalten der Oracle ILOM-Sicherheit nach dem Server-Deployment TABELLE 2 Sicherheitsaufgabe Zutreffende Einzelheiten finden Sie unter: ✓ Firmware- Version(en) Sichere Verwaltungsverbindung mit Oracle ILOM Alle Firmware- ■ „Verhindern von nicht authentifiziertem Host- aufrechterhalten Versionen KCS-Gerätezugriff“ [53] ■...
  • Seite 12 Oracle ILOM - Sicherheitshandbuch • August 2014...

  • Seite 13: Sicherheits-Best Practices Zum Deployment Für Oracle Ilom

    Rechen-Engine oder für den Zugriff von ungeschützten, nicht vertrauenswürdigen Netzwerkverbindungen konzipiert. Unabhängig davon, ob Sie eine physische Verwaltungsverbindung zu Oracle ILOM über den lokalen seriellen Port, den dedizierten Netzwerkverwaltungsport oder den Standarddaten- Netzwerkport herstellen, muss dieser physische Port auf dem Server oder dem Chassis Monitoring Module (CMM) immer mit einem internen vertrauenswürdigen Netzwerk oder...

  • Seite 14: Festlegen, Ob Der Fips-Modus Beim Deployment Konfiguriert Werden Soll

    Als Schutzmaßnahme vor Sicherheitsangriffen sollten Sie den Oracle ILOM-SP Anmerkung - niemals an ein öffentliches Netzwerk, wie das Internet, anschließen. Führen Sie den Oracle ILOM-SP-Verwaltungsdatenverkehr auf einem separaten Verwaltungsnetzwerk, auf das nur Systemadministratoren Zugriff haben. Festlegen, ob der FIPS-Modus beim Deployment konfiguriert werden soll Ab Oracle ILOM-Firmware-Version 3.2.4 bieten die Oracle ILOM-CLI und -...

  • Seite 15: Aktivieren Des Fips-Modus Beim Deployment

    Anmerkung - "State" und "Status" angegeben. Die Zustandseigenschaft steht für den konfigurierten Modus in Oracle ILOM und die Statuseigenschaft für den Betriebsmodus in Oracle ILOM. Wenn die Eigenschaft "FIPS State" geändert wird, wirkt sich diese Änderung bis zum nächsten Neustart von Oracle ILOM nicht auf den Betriebsmodus (Eigenschaft "FIPS Status") aus.
  • Seite 16 Klicken Sie auf "Save", um die Änderung anzuwenden. Zusätzliche Konfigurationsdetails erhalten Sie, indem Sie auf der FIPS-Webseite auf den Link More details..klicken. Um den FIPS-Betriebsmodusstatus in Oracle ILOM zu ändern, führen Sie die folgenden Schritte aus, um Oracle ILOM neu zu starten. a.   ...

  • Seite 17: Nicht Unterstützte Funktionen Bei Aktiviertem Fips-Modus

    Wenn der FIPS-Modus aktiviert ist und im System ausgeführt wird, wird die IPMI 1.5- Konfigurationseigenschaft von der Oracle ILOM-CLI und -Webbenutzeroberfläche entfernt. Der IPMI 2.0- Service wird automatisch in Oracle ILOM aktiviert. IPMI 2.0 unterstützt sowohl FIPS-konforme als auch nicht konforme Modi.

  • Seite 18: Vorkonfigurierte Services Und Netzwerkports

    Dadurch kann Oracle ILOM einfach und unkompliziert bereitgestellt werden. Böswillige Benutzer können jedoch über jeden offenen Servicenetzwerkport auf dem Server Zugriff erhalten. Aus diesem Grund ist es wichtig, sich über die ursprünglichen Oracle ILOM- Einstellungen und deren Verwendungszweck zu informieren und die für ein bereitgestelltes System erforderlichen Services auszuwählen.

  • Seite 19: Verwaltung Von Unerwünschten Services Und Offenen Ports

    Verwaltung von unerwünschten Services und offenen Ports Alle Oracle ILOM-Services können bei Bedarf deaktiviert werden, wodurch die entsprechenden offenen Netzwerkports für diese Services geschlossen werden. Sie erreichen eine höhere Sicherheit in der Oracle ILOM-Umgebung, indem Sie einige Funktionen der standardmäßig aktivierten Services deaktivieren oder deren Standardeinstellungen ändern.

  • Seite 20: Konfigurieren Von Services Und Netzwerkports

    Tabelle 4, „Standardmäßig aktivierte Services und Ports“ ■ Tabelle 5, „Standardmäßig deaktivierte Services und Ports“ ■ Die Rolle Admin (a) ist in Oracle ILOM erforderlich, um die Zustandseigenschaft von ■ Protokollservices zu ändern. Gehen Sie wie folgt vor, um die Zustandseigenschaft eines Netzwerkservice zu ändern.
  • Seite 21 Management Services and Network Default Properties im Oracle ILOM 3.1 Configuration ■ and Maintenance Guide Configuring Network Settings in Oracle ILOM 3.0 Daily Management - CLI Procedures ■ Guide Configuring Network Settings in Oracle ILOM 3.0 Daily Management - Web Procedures ■...

  • Seite 22: Ändern Von Zustand Und Ports Für Kvms-Service

    Configure Local Client KVMS Settings im Oracle ILOM 3.1 Configuration and ■ Maintenance Guide Initial Setup Tasks in Oracle ILOM 3.0 Remote Redirection Console - Web and CLI Guide ■ Ändern von Zustand und Port für Single Sign-On-Service Bevor Sie beginnen Bevor Sie beginnen...

  • Seite 23: Sichern Des Oracle Ilom-Benutzerzugriffs

    Ändern Sie auf der Seite "User Account" die Eigenschaft "SSO State", und klicken Sie dann auf "Save", um die Änderung anzuwenden. Beachten Sie, dass die Deaktivierung der Eigenschaft "SSO State" in Oracle ILOM zu Folgendem führt : a) Der offene SSO-Netzwerkport wird geschlossen; b) Benutzer werden aufgefordert, ihr Passwort beim Starten einer KVMS-Konsole erneut einzugeben und c) CMM- Benutzer können zu einem Blade-Server-SP navigieren, ohne ihr Passwort erneut eingeben zu...

  • Seite 24: Vermeiden Der Erstellung Gemeinsam Verwendeter Benutzerkonten

    Unter gemeinsam genutzten Konten werden Benutzerkonten verstanden, für die dasselbe Benutzerkontopasswort verwendet wird. Anstelle von gemeinsam genutzten Konten empfiehlt es sich, ein eindeutiges Passwort für jeden Benutzer zu erstellen, der auf Oracle ILOM Zugriff hat. Stellen Sie sicher, dass die jeweilige Kombination aus Benutzerkonto und Passwort nur einem Benutzer bekannt ist.

  • Seite 25: Sicherheitsrichtlinien Zum Verwalten Von Benutzerkonten Und Passwörtern

    Stromversorgung des Servers und den Zugriff auf die Remotekonsole einschränken. Gründliche Kenntnisse der Berechtigungsstufen sind wichtig für die Zuweisung zu den richtigen Benutzern in der Organisation. Die folgende Tabelle enthält eine Liste von Berechtigungen, die Sie einem einzelnen Oracle ILOM-Benutzerkonto zuweisen können. Beschreibungen der Berechtigungen für Benutzerkonten...

  • Seite 26: Richtlinien Für Die Verwaltung Von Benutzerkonten

    Richtlinien für die Passwortverwaltung Richtlinie für die Passwortverwaltung Beschreibung Ändern Sie das Standardpasswort Für die erstmalige Anmeldung und den ersten Zugriff auf Oracle ILOM wird ein lokales (changeme) unmittelbar nach der ersten Administrator-root-Konto im System bereitgestellt. Um eine sichere Umgebung aufzubauen, Anmeldung...

  • Seite 27: Remote-Authentifizierungsservices Und Sicherheitsprofile

    Sicherheitsprofile Oracle ILOM kann so konfiguriert werden, dass ein externer, zentraler Benutzerspeicher an die Stelle einer Konfiguration von lokalen Benutzern für jede Oracle ILOM-Instanz tritt. Auf diese Weise können die Zugangsdaten von Benutzern für den Zugriff auf verschiedene Systeme zentral erstellt und geändert werden.

  • Seite 28: Konfigurieren Des Benutzerzugriffs Für Maximale Sicherheit

    Setting Up and Maintaining User Accounts im Oracle ILOM 3.1 Configuration and ■ Maintenance Guide Managing User Accounts in Oracle ILOM 3.0 Daily Management - CLI Procedures Guide ■ Managing User Accounts in Oracle ILOM 3.0 Daily Management - Web Procedures Guide ■...

  • Seite 29: Ändern Des Standardpassworts Für Root-Konto Bei Erster Anmeldung

    Verfahren. Ändern des Standardpassworts für root-Konto bei erster Anmeldung Für die erstmalige Anmeldung und den ersten Zugriff auf Oracle ILOM werden ein vorkonfiguriertes Administrator-root-Konto und ein Standardpasswort (changme) im System bereitgestellt. Um den unautorisierten Zugriff auf Oracle ILOM zu verhindern, muss das Standardpasswort (changeme) des vorkonfigurierten root-Kontos bei der ersten Anmeldung geändert werden.

  • Seite 30: Erstellen Lokaler Benutzerkonten Mit Rollenbasierten Berechtigungen

    Configuring a Local User Account im Oracle ILOM 3.1 Configuration and Maintenance ■ Guide Modify a User Account in Oracle ILOM 3.0 Daily Management - CLI Procedures Guide ■ Modify a User Account in Oracle ILOM 3.0 Daily Management - Web Procedures Guide ■...
  • Seite 31 [25]. Prüfen Sie Tabelle 7, „Beschreibungen der Berechtigungen für Benutzerkonten“. ■ Die Rolle Benutzerverwaltung (u) ist in Oracle ILOM erforderlich, um ein lokales ■ Benutzerkonto mit Berechtigungen zu erstellen. Navigieren Sie zur Seite "User Account" in der Oracle ILOM- Webbenutzeroberfläche. Beispiele: ■...

  • Seite 32: Sperren Des Hostzugriffs Nach Beenden Einer Kvms-Sitzung

    Create User Account and Assign User Role im Oracle ILOM 3.1 Configuration and ■ Maintenance Guide Add User Account and Assign Roles in Oracle ILOM 3.0 Daily Management - CLI ■ Procedures Guide Add User Account and Assign Roles in Oracle ILOM 3.0 Daily Management - Web ■...

  • Seite 33: Einschränken Anzeigbarer Kvms-Sitzungen Für Remote System Console Plus (3.2.4 Oder Höher)

    ■ Maintenance (Firmware 3.2.x) Lock Host Desktop in Oracle ILOM 3.1 Configuration and Maintenance ■ KVMS Lock in Oracle ILOM 3.0 Remote Redirection Consoles CLI and Web Guide ■ Einschränken anzeigbarer KVMS-Sitzungen für Remote System Console Plus (3.2.4 oder höher) Ab Firmware-Version 3.2.4 kann ein primärer Remote System Console Plus-Benutzer...

  • Seite 34: Sicherer Systemzugriff Mit Anmeldebanner (3.0.8 Und Höher)

    Oracle ILOM Remote System Console Plus ist nur auf neu veröffentlichten SP-Systemen ■ ab Firmware-Version 3.2.1 verfügbar. ■ Die Rolle Konsole (c) ist in Oracle ILOM erforderlich, um die KVMS-Eigenschaft zur maximalen Anzahl Clientsitzungen zu ändern. Nach dem Zurücksetzen der Eigenschaft für die maximale Anzahl Clientsitzungen ■...

  • Seite 35: Konfigurieren Der Oracle Ilom-Benutzeroberflächen Für Maximale Sicherheit

    Banner Message Configuration Properties im Oracle ILOM 3.1 Configuration and ■ Maintenance Guide Display Banner Message in Oracle ILOM 3.0 Daily Management - CLI Procedures Guide ■ Display Banner Message in Oracle ILOM 3.0 Daily Management - Web Procedures Guide ■...

  • Seite 36: Konfigurieren Der Webbenutzeroberfläche Für Maximale Sicherheit

    Sicherheit zu erhöhen. Ein Zertifikat ist vertrauenswürdig, wenn es von einer vertrauenswürdigen Certificate Authority ausgegeben wird. Ein vertrauenswürdiges Zertifikat von einer bekannten Certificate Authority trägt zur Authentizität des Oracle ILOM- Oracle ILOM - Sicherheitshandbuch • August 2014...
  • Seite 37 Dieses Verfahren stellt eine vereinfachte Beschreibung davon dar, wie Sie ein SSL-Zertifikat und einen privaten Schlüssel mit dem OpenSSL-Toolkit erstellen. Es ist in Oracle ILOM nicht erforderlich, SSL-Zertifikate mit OpenSSL zu Anmerkung - generieren. OpenSSL wird in diesem Verfahren lediglich zu Demonstrationszwecken eingesetzt.
  • Seite 38 CSR-Ausgabe ausschneiden und in den Bildschirm einer Webanwendung einfügen. Es kann normalerweise bis zu sieben Werktage dauern, bis Sie das signierte Zertifikat erhalten. Laden Sie das neue SSL-Zertifikat und den privaten Schlüssel in Oracle ILOM hoch. Anweisungen dazu finden Sie unter Hochladen eines benutzerdefinierten SSL-Zertifikats und privaten Schlüssels in Oracle ILOM...
  • Seite 39 Hochladen eines benutzerdefinierten SSL-Zertifikats und privaten Schlüssels in Oracle ILOM Hochladen eines benutzerdefinierten SSL-Zertifikats und privaten Schlüssels in Oracle ILOM Bevor Sie beginnen Die Rolle Admin (a) ist erforderlich, um die Webservereigenschaften in Oracle ILOM zu ■ ändern. Rufen Sie das neue (temporäre selbstsignierte oder von einer Certificate Authority ■...

  • Seite 40: Aktivieren Der Sichersten Ssl- Und Tls- Verschlüsselungseigenschaften

    Anweisungen zum Anzeigen oder Ändern der Webserver-Sicherheitseigenschaften in Oracle ILOM. Bevor Sie beginnen Die Rolle Admin (a) ist erforderlich, um die Webservereigenschaften in Oracle ILOM zu ■ ändern. SSLv3 und TLS v1.0 werden standardmäßig auf Server-SPs unterstützt und aktiviert, auf ■...

  • Seite 41: Festlegen Eines Timeoutintervalls Für Inaktive Websitzungen

    Die Rolle Admin (a) ist erforderlich, um die Webservereigenschaften zu ändern. ■ Die Timeoutintervalleigenschaften für HTTP- und HTTPS-Sitzungen können in Oracle ■ ILOM nur für Server-SPs mit Firmware-Version 3.0.4 oder höher konfiguriert werden. Navigieren Sie zur Seite "Web Server". Beispiele: Klicken Sie in der 3.0.x-Webbenutzeroberfläche auf "Configuration" ->...

  • Seite 42: Konfigurieren Der Cli Für Maximale Sicherheit

    Web Server Configuration Properties im Oracle ILOM 3.1 Configuration and Maintenance ■ Guide Set Session Time-Out in Oracle ILOM 3.0 Daily Management - Web Procedures Guide ■ Konfigurieren der CLI für maximale Sicherheit Die folgenden Themen enthalten Informationen zur optimalen Konfiguration der Oracle ILOM- Befehlszeilenschnittstelle (CLI) für maximale Sicherheit.
  • Seite 43 0 (Null) Minuten gesetzt. Wenn das CLI-Timeoutintervall auf 0 (Null) gesetzt ist, werden inaktive CLI- Anmerkung - Sitzungen nicht von Oracle ILOM geschlossen, unabhängig davon, wie lange sie inaktiv bleiben. Die Timeoutintervalleigenschaft für CLI-Sitzungen kann in Oracle ILOM nur für Server- ■...

  • Seite 44: Verwenden Von Serverseitigen Schlüsseln Zum Verschlüsseln Von Ssh-Verbindungen

    Verwenden von serverseitigen Schlüsseln zum Verschlüsseln von SSH-Verbindungen Set a CLI Session Time-Out in Oracle ILOM 3.0 Daily Management - CLI Procedures ■ Guide Verwenden von serverseitigen Schlüsseln zum Verschlüsseln von SSH-Verbindungen Die in Oracle ILOM integrierte SSH-Serverfunktion (Secure Shell) bietet die Möglichkeit einer sicheren Verbindung zwischen Remoteclients und Oracle ILOM, sodass Oracle ILOM über eine...

  • Seite 45: Anhängen Von Ssh-Schlüsseln An Benutzerkonten Für Automatisierte Cli-Authentifizierung

    Generate a New SSH Key in Oracle ILOM 3.0 Daily Management - Web Procedures ■ Guide Generate a New SSH Key in Oracle ILOM 3.0 Daily Management - CLI Procedures Guide ■ Anhängen von SSH-Schlüsseln an Benutzerkonten für automatisierte CLI-Authentifizierung Individuell generierte SSH-Schlüsselpaare (DSA oder RSA) können für einzelne...

  • Seite 46: Konfigurieren Des Snmp-Verwaltungszugriffs Für Maximale Sicherheit

    CLI Authentication Using Local SSH Key im Oracle ILOM 3.1 Configuration and ■ Maintenance Guide Managing User Accounts in Oracle ILOM 3.0 Daily Management - Web Procedures Guide ■ Managing User Accounts in Oracle ILOM 3.0 Daily Management - CLI Procedures Guide ■...
  • Seite 47 SNMPv3-Benutzerpasswörter sind lokalisiert, sodass sie sicher auf Verwaltungsstationen gespeichert werden können. SNMPv1, SNMPv2c und SNMPv3 werden von Oracle ILOM unterstützt und können einzeln aktiviert bzw. deaktiviert werden. Außerdem können "Sätze" aktiviert oder deaktiviert werden, um eine zusätzliche Sicherheitsebene bereitzustellen. Durch diese konfigurierbare Option wird bestimmt, ob der SNMP-Service das Festlegen von konfigurierbaren SNMP-MIB- Eigenschaften zulässt.

  • Seite 48: Sun-Snmp-Mibs, Die Konfigurierbare Objekte Unterstützen

    Configuring SNMP Settings in der Oracle ILOM Protocol Management Reference for ■ SNMP and IPMI (Firmware 3.2.x) Configuring SNMP Settings in der Oracle ILOM 3.1 SNMP, IPMI, CIM, and WS-Man ■ Protocol Management Reference Configuring SNMP Settings in der Oracle ILOM 3.0 SNMP, IPMI, CIM, and WS-Man ■...

  • Seite 49: Verwenden Von Ipmi V2.0 Für Erweiterte Authentifizierung Und Paketverschlüsselung

    Serviceeigenschaft "State" oder der konfigurierbaren IPMI v1.5-Eigenschaft, die ab Firmware- Version 3.2.4 verfügbar ist. Bevor Sie beginnen Die Rolle Admin (a) ist erforderlich, um IPMI-Eigenschaften in Oracle ILOM zu ändern. ■ Die IPMI-Serviceeigenschaft "State" ist standardmäßig aktiviert. Vor der Verwendung ■...

  • Seite 50: Ipmi-Sicherheitsrichtlinien Und Best Practices

    Server Management Using IPMI in der Oracle ILOM Protocol Management Reference for ■ SNMP and IPMI (Firmware 3.2.x) Server Management Using IPMI in der Oracle ILOM 3.1 SNMP, IPMI, CIM, WS-MAN ■ Protocol Management Reference Server Management Using IPMI in der Oracle ILOM 3.0 SNMP, IPMI, CIM, WS-MAN ■...

  • Seite 51: Unterstützung Von Ipmi 2.0-Authentifizierung Über Cipher Suite

    Bereitstellen von Bestandsinformationen anhand des Protokolls WS-Management (WS-MAN). Die WS-MAN-Schnittstelle von Oracle ILOM ermöglicht außerdem die Peerkontrolle des Hosts und das Zurücksetzen des Oracle ILOM-SP. Bei WS-MAN handelt es sich um ein SOAP-(Simple Object Access Protocol-)basiertes Protokoll, das die Protokolle HTTP und HTTPS verwendet.
  • Seite 52 Oracle ILOM - Sicherheitshandbuch • August 2014...

  • Seite 53: Sicherheits-Best Practices Nach Dem Deployment Für Oracle Ilom

    „Verwenden von IPMI 2.0-Verschlüsselung zum Sichern des Kanals“ [55] ■ Verhindern von nicht authentifiziertem Host-KCS- Gerätezugriff Bei Oracle-Servern wird eine langsame Standardverbindung, die KCS-(Keyboard Controller Style-)Schnittstelle, zwischen dem Host und Oracle ILOM unterstützt. Diese unterstützte KCS- Sicherheits-Best Practices nach dem Deployment für Oracle ILOM...

  • Seite 54: Interconnect-Zugriff Auf Bevorzugten Authentifizierten Host

    IP-Stack ausgeführt. Oracle ILOM erhält eine interne, nicht routingfähige IP- Adresse, mit der ein Client auf dem Host eine Verbindung zu Oracle ILOM herstellen kann. Anders als bei der KCS-Schnittstelle, für die ein geschützter Zugriff auf ein Hardwaregerät erforderlich ist, können standardmäßig alle Betriebssystembenutzer das LAN-Interconnect...

  • Seite 55: Verwenden Von Ipmi 2.0-Verschlüsselung Zum Sichern Des Kanals

    Aufrechterhalten einer sicheren Verwaltungsverbindung Außerdem stehen dem Host über das LAN-Interconnect alle im Verwaltungsnetzwerk bekannten Services und Protokolle zur Verfügung. Sie können die Oracle ILOM- Webbenutzeroberfläche aufrufen, indem Sie einen Webbrowser auf dem Host verwenden, oder mithilfe eines Secure Shell-Clients eine Verbindung mit der Oracle ILOM- Befehlszeilenschnittstelle aufbauen.

  • Seite 56: Verwenden Sicherer Protokolle Für Remoteverwaltung

    Standardserverdatenports zugänglich sind. Mit der Seitenbandverwaltung werden Kabelführung und Netzwerkkonfiguration einfacher, da der Bedarf an zwei separaten Netzwerkverbindungen entfällt. Das bedeutet aber auch, dass der Oracle ILOM-Datenverkehr theoretisch über ein nicht vertrauenswürdiges Netzwerk gesendet werden könnte, wenn der dedizierte oder Seitenband- Verwaltungsport nicht mit einem vertrauenswürdigen Netzwerk verbunden ist.

  • Seite 57: Aufbauen Einer Sicheren, Lokalen Seriellen Verwaltungsverbindung

    Verwaltungsverbindung Sie können einen Terminalserver oder einen Dumpterminal über den physischen seriellen Verwaltungsport am Server lokal mit Oracle ILOM verbinden. Um eine sichere lokale Verwaltungsverbindung mit Oracle ILOM aufrecht zu erhalten, verbinden Sie Terminalgeräte nicht mit dem lokalen seriellen Verwaltungsport, wenn das Gerät auch mit einem internen oder privaten Netzwerk verbunden ist.

  • Seite 58: Schutz Vor Gemeinsamem Remote Kvms-Zugriff

    Bildschirmeingaben während einer Remote KVMS-Sitzung sehen. In diesem Zusammenhang ist es wichtig zu wissen, dass wenn sich ein Benutzer beim Hostbetriebssystem innerhalb der Anwendungen Oracle ILOM Remote Console, Remote Console Plus und CLI Storage Redirection als berechtigter Benutzer anmeldet, alle anderen KVMS-Benutzer an dieser authentifizierten Sitzung teilnehmen können.

  • Seite 59: Schutz Vor Gemeinsamem Zugriff Auf Serielle Hostkonsole

    Sicheres Verwenden von Remote KVMS Anweisungen dazu finden Sie in der Benutzerdokumentation für Ihr Hostbetriebssystem. Wenn Sie Oracle ILOM Remote System Console Plus verwenden und die Anzahl der anzeigbaren KVMS-Sitzungen einschränken möchten, die von Oracle ILOM gestartet werden, lesen Sie Einschränken anzeigbarer KVMS-Sitzungen für Remote System Console Plus (3.2.4...

  • Seite 60: Überlegungen Nach Dem Deployment Zum Sichern Des Benutzerzugriffs

    Normalerweise ändern die Benutzer ihre eigenen Passwörter. Systemadministratoren mit Benutzerverwaltungsberechtigungen können allerdings auch Passwörter für andere Benutzerkonten ändern. Im Folgenden finden Sie webbasierte Anweisungen zum Ändern des Passworts für ein Oracle ILOM-Benutzerkonto. Die CLI-Anweisungen bzw. andere Details zu Benutzerverwaltungs- Anmerkung - Konfigurationseigenschaften finden Sie in der entsprechenden Dokumentation im Abschnitt "Zusätzliche Informationen"...

  • Seite 61: Physische Sicherheitspräsenz Zum Zurücksetzen Des Standardpassworts Des

    Sie das root-Passwort zurück, indem Sie mithilfe des seriellen Ports eine Verbindung mit Oracle ILOM herstellen. Anders als in den meisten Fällen, in denen für eine Verbindung zum seriellen Oracle ILOM-Port der physische Zugang zum System erforderlich ist, kann die serielle Konsole mit einem Terminalserver verbunden werden.

  • Seite 62: Festlegen Der Prüfung Auf Physische Präsenz

    Zugang zum Server möglich ist. Vergewissern Sie sich, dass die Präsenzprüfungsfunktion im Falle einer bestehenden Verbindung zwischen dem seriellen Oracle ILOM-Port und einem Terminalserver aktiviert ist, um ein Höchstmaß an Sicherheit zu gewährleisten. Im Folgenden finden Sie webbasierte Anweisungen zum Anzeigen oder Ändern der Prüfungsfunktion zur physischen Präsenz.

  • Seite 63: Überwachen Von Auditereignissen Zum Auffinden Nicht Autorisierter Zugriffe

    Das Auditlog ab Firmware-Version 3.1 in Oracle ILOM verfügbar. Vor der Firmware- ■ Version 3.1 wurden Auditereignisse im Oracle ILOM-Ereignislog erfasst. Die Berechtigungen der Rolle Admin (a) sind in Oracle ILOM erforderlich, um Einträge ■ im Auditlog zu löschen. Klicken Sie in der Webbenutzeroberfläche auf "ILOM Administration" -> "Logs" - >...

  • Seite 64: Aktionen Nach Dem Deployment Zum Ändern Des Fips-Modus

    Anmerkung - "State" und "Status" angegeben. Die Zustandseigenschaft steht für den konfigurierten Modus in Oracle ILOM und die Statuseigenschaft für den Betriebsmodus in Oracle ILOM. Wenn die Eigenschaft "FIPS State" geändert wird, wirkt sich diese Änderung bis zum nächsten Neustart von Oracle ILOM nicht auf den Betriebsmodus (Eigenschaft "FIPS Status") aus.
  • Seite 65 Ändern des FIPS-Modus nach Deployment Wenn FIPS aktiviert ist (konfiguriert und betriebsfähig), werden einige Funktionen ■ in Oracle ILOM nicht unterstützt. Eine Liste der nicht unterstützten Funktionen bei aktiviertem FIPS finden Sie unter „Nicht unterstützte Funktionen bei aktiviertem FIPS- Modus“...

  • Seite 66: Durchführen Von Updates Auf Die Aktuellste Software Und Firmware

    Im Folgenden finden Sie Anweisungen zum Aktualisieren der Oracle ILOM-Firmware auf Ihrem Server. Update der Oracle ILOM-Firmware Bevor Sie beginnen Die Rolle Admin (a) ist in Oracle ILOM erforderlich, um die Oracle ILOM-Firmware zu ■ aktualisieren. Oracle ILOM - Sicherheitshandbuch • August 2014...
  • Seite 67 Klicken Sie auf der Seite "Firmware Upgrade" auf "Enter Firmware Upgrade mode", und befolgen Sie dann die Anweisungen. Benutzer mit Oracle ILOM-Firmware 3.2 oder höher klicken auf den Link More details auf der Seite "Firmware Upgrade". Sicherheits-Best Practices nach dem Deployment für Oracle ILOM...
  • Seite 68 Oracle ILOM - Sicherheitshandbuch • August 2014...

Inhaltsverzeichnis