Guia de segurança do Oracle
®Fabric
Manager 5.0.2
Número do Item: E79498-02
Número do Item: E79498-02
Copyright © 2016, Oracle e/ou suas empresas afiliadas. Todos os direitos reservados e de titularidade da Oracle Corporation. Proibida a reprodução total ou parcial. Este programa de computador e sua documentação são fornecidos sob um contrato de licença que contém restrições sobre seu uso e divulgação, sendo também protegidos pela legislação de propriedade intelectual. Exceto em situações expressamente permitidas no contrato de licença ou por lei, não é permitido usar, reproduzir, traduzir, divulgar, modificar, licenciar, transmitir, distribuir, expor, executar, publicar ou exibir qualquer parte deste programa de computador e de sua documentação, de qualquer forma ou através de qualquer meio. Não é permitida a engenharia reversa, a desmontagem ou a descompilação deste programa de computador, exceto se exigido por lei para obter interoperabilidade. As informações contidas neste documento estão sujeitas a alteração sem aviso prévio. A Oracle Corporation não garante que tais informações estejam isentas de erros. Se você encontrar algum erro, por favor, nos envie uma descrição de tal problema por escrito.
Se este programa de computador, ou sua documentação, for entregue / distribuído(a) ao Governo dos Estados Unidos ou a qualquer outra parte que licencie os Programas em nome daquele Governo, a seguinte nota será aplicável:
U.S. GOVERNMENT END USERS: Oracle programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, delivered to U.S. Government end users are "commercial computer software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, use, duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, shall be subject to license terms and license restrictions applicable to the programs. No other rights are granted to the U.S. Government. Este programa de computador foi desenvolvido para uso em diversas aplicações de gerenciamento de informações. Ele não foi desenvolvido nem projetado para uso em aplicações inerentemente perigosas, incluindo aquelas que possam criar risco de lesões físicas. Se utilizar este programa em aplicações perigosas, você será responsável por tomar todas e quaisquer medidas apropriadas em termos de segurança, backup e redundância para garantir o uso seguro de tais programas de computador. A Oracle Corporation e suas afiliadas se isentam de qualquer responsabilidade por quaisquer danos causados pela utilização deste programa de computador em aplicações perigosas.
Oracle e Java são marcas comerciais registradas da Oracle Corporation e/ou de suas empresas afiliadas. Outros nomes podem ser marcas comerciais de seus respectivos proprietários. Intel e Intel Xeon são marcadas comerciais ou marcas comerciais registradas da Intel Corporation. Todas as marcas comerciais SPARC são usadas sob licença e são marcas comerciais ou marcas comerciais registradas da SPARC International, Inc. AMD, Opteron, o logotipo da AMD e o logotipo do AMD Opteron são marcas comerciais ou marcas comerciais registradas da Advanced Micro Devices. UNIX é uma marca comercial registrada licenciada por meio do consórcio The Open Group.
Este programa ou equipamento e sua documentação podem oferecer acesso ou informações relativas a conteúdos, produtos e serviços de terceiros. A Oracle Corporation e suas empresas afiliadas não fornecem quaisquer garantias relacionadas a conteúdos, produtos e serviços de terceiros e estão isentas de quaisquer responsabilidades associadas a eles, a menos que isso tenha sido estabelecido entre você e a Oracle em um contrato vigente. A Oracle Corporation e suas empresas afiliadas não são responsáveis por quaisquer tipos de perdas, despesas ou danos incorridos em consequência do acesso ou da utilização de conteúdos, produtos ou serviços de terceiros, a menos que isso tenha sido estabelecido entre você e a Oracle em um contrato vigente.
Acessibilidade da Documentação
Para obter informações sobre o compromisso da Oracle com a acessibilidade, visite o Web site do Programa de Acessibilidade da Oracle em http://www.oracle.com/pls/topic/lookup? ctx=acc&id=docacc.
Acceso ao Oracle Support
Os clientes da Oracle que adquiriram serviços de suporte têm acesso a suporte eletrônico por meio do My Oracle Support. Para obter informações, visite http://www.oracle.com/pls/ topic/lookup?ctx=acc&id=info ou http://www.oracle.com/pls/topic/lookup?ctx=acc&id=trs caso tenha deficiência de audição.
Conteúdo
Segurança do Oracle Fabric Manager ... 7
Visão Geral do Oracle Fabric Manager ... 7
Princípios Gerais de Segurança ... 7
Manter o Software Atualizado ... 8
Restringir o Acesso à Rede aos Serviços Críticos ... 8
Seguir o Princípio do Menos Privilegiado ... 8
Monitorar a Atividade do Sistema ... 9
Manter-se Atualizado com as Informações Mais Recentes de Segurança ... 9
Acesso ... 9
▼ Revisar Permissões de Arquivo ... 10
▼ Controlar o Acesso a Contas Padrão ... 10
Certificado SSL ... 11
▼ Bloquear o Acesso por Usuários não Listados ... 11
Segurança para Plug-Ins do Oracle Fabric Manager ... 11
Segurança do Oracle Fabric Monitor ... 11
Geral ... 12
MySQL ... 12
Postgres ... 12
Segurança do Oracle Fabric Manager
Este documento oferece diretrizes gerais de segurança do Oracle Fabric Manager, começando pela versão 5.0.0. O objetivo dessas informações é ajudar você a proteger o software Oracle Fabric Manager.
■ “Visão Geral do Oracle Fabric Manager” [7]
■ “Princípios Gerais de Segurança” [7]
■ “Acesso” [9]
■ Revisar Permissões de Arquivo [10] ■ Controlar o Acesso a Contas Padrão [10]
■ “Certificado SSL” [11]
■ Bloquear o Acesso por Usuários não Listados [11]
■ “Segurança para Plug-Ins do Oracle Fabric Manager” [11]
■ “Segurança do Oracle Fabric Monitor” [11]
Visão Geral do Oracle Fabric Manager
O Oracle Fabric Manager é um sistema de gerenciamento de vários dispositivos criado pela Oracle para inventariar e gerenciar dispositivos do Oracle Fabric (um ou mais Oracle InfiniBand Switch IS2-46, Oracle Fabric Interconnects e/ou Oracle SDN Controllers) e a E/S virtual da Oracle. O produto Oracle Fabric Manager é um modelo cliente/servidor que suporta a configuração e o gerenciamento de recursos virtuais no nível do dispositivo do fabric, do módulo, do servidor ou da máquina virtual.
O Oracle Fabric Manager é um sistema de gerenciamento que se baseia em navegador e é executado em um servidor remoto. O servidor do Oracle Fabric Manager remoto traduz as tarefas de configuração e gerenciamento da interface do Oracle Fabric Manager e restabelece essas informações para dispositivos do fabric que são gerenciados pelo Oracle Fabric Manager.
Princípios Gerais de Segurança
Estes tópicos descrevem os princípios fundamentais necessários para usar qualquer aplicativo de modo seguro.
Princípios Gerais de Segurança
Manter o Software Atualizado
Mantenha-se atualizado com a versão do Oracle Fabric Manager que está em execução. Você pode encontrar as versões atuais do software para download em http://support.oracle.com.
Restringir o Acesso à Rede aos Serviços Críticos
O Oracle Fabric Manager usa as seguintes portas:Porta Descrição
8880 ou 8443 (HTTPS) Usada por usuários finais para se conectarem com o Oracle Fabric Manager.
Como alternativa, você pode deixar essas portas fechadas, mas abrir uma sessão RDP e usar o navegador local para ter uma maior segurança.
443 Usada pelo Oracle Fabric Manager para se conectar e
configurar fabric interconnects e OSDN Controllers. 6522 Usada pelo Oracle Fabric Manager para se conectar e
detectar fabric interconnects e OSDN Controllers. 7443 Usada pelo Oracle Fabric Manager para se conectar e
configurar Oracle InfiniBand Switches.
7777 Usada pelo Oracle Fabric Manager para se conectar e detectar Oracle InfiniBand switches.
22 Usada pelo Oracle Fabric Manager para fazer download
de logs e exportar e importar arquivos de back-up em todos os tipos de dispositivos
Mantém o Oracle Fabric Manager e os dispositivos controlados por ele em uma rede de gerenciamento segura. Eles não podem estar em contato direto com a internet.
Seguir o Princípio do Menos Privilegiado
Conceda ao usuário ou ao administrador o privilégio mínimo exigido para concluir a tarefa. O Oracle Fabric Manager tem várias funções que podem ser concedidas aos usuários. Essas funções proporcionam tipos e níveis variáveis de privilégio.
Use as funções do Security Manager, disponíveis no painel de navegação da interface, para configurar funções de usuário do Oracle Fabric Manager. As funções do Security Manager também permitem que você configure Dispositivos do Fabric em domínios de rede específicos. Para obter detalhes sobre como usar o Security Manager, consulte o Oracle Fabric Manager 5.0.2 Administration Guide.
Acesso
Monitorar a Atividade do Sistema
Monitore a atividade do sistema para determinar a eficiência da operação do Oracle Fabric Manager e se ela está registrando alguma atividade fora do normal. Verifique os arquivos de log a seguir que contêm informações sobre o Oracle Fabric Manager:
Windows Server Linux Server Oracle Solaris Server
director-<name>.log director-<name>.log director-<name>.log
xmsaudit.log.1 xmsaudit.log.1 xmsaudit.log.1
xms-ha.log.1 xms-ha.log.1 xms-ha.log.1
xmsjobs.log.1 xmsjobs.log.1 xmsjobs.log.1
xms.log.1 xms.log.1 xms.log.1
xms-schedule.log.1 xms-schedule.log.1 xms-schedule.log.1
xms-stderr.log tomcat.log tomcat.log
xms-stdout.log catalina.out catalina.out
commons-daemon.log catalina.pid
Manter-se Atualizado com as Informações Mais
Recentes de Segurança
É possível acessar várias fontes de informações de segurança.
■ Para obter informações e alertas para uma grande variedade de produtos de software, consulte http://www.us-cert.gov.
■ Execute a versão mais recente do software Oracle Virtual Networking e consulte sua documentação.
Acesso
Só permite o acesso pela Web ao Oracle Fabric Manager de uma rede privada, por trás do DMZ. Usada por usuários finais para se conectarem com o Oracle Fabric Manager. Um método é usar um firewall para bloquear as portas do Oracle Fabric Manager. Depois, conecte-se com o Oracle Fabric Manager. Primeiro execute o RDP (Remote Desktop Protocol) no host e, em seguida, use
localhost para se conectar com o Oracle Fabric Manager.
Certifique-se de que o Oracle Fabric Manager só use a rede privada para se comunicar com dispositivos fabric, como um fabric interconnect ou um Oracle SDN Controller.
Revisar Permissões de Arquivo
Revisar Permissões de Arquivo
Verifique as permissões do arquivo depois de instalar o software Oracle Fabric Manager. Selecione o ícone Manutenção do Fabric Manager, que é parecido com uma chave de fenda. 1. Antes de instalar o Oracle Fabric Manager, crie um usuário denominado xsigo.
Crie um arquivo ~xsigo/.profile que inclua essa linha: umask 077
Verifique se esse perfil entrou em efeito informando esses comandos e vendo se a saída é 077. # su xsigo
# umask
0077
2. Instale o Oracle Fabric Manager.
Consulte “Installing the Software” in Oracle Fabric Manager 5.0.2 Installation Guide.
3. Depois da instalação, revise o nível de permissão dos arquivos do produto para
saber se algum deles pode ser lido ou gravado mundialmente. Estes comandos Linux não devem recuperar arquivos:
find /opt/xsigo/xms/ -perm -o=r find /opt/xsigo/xms/ -perm -o=w
4. Corrija as permissões de quaisquer arquivos que estão identificadas.
Controlar o Acesso a Contas Padrão
O Oracle Fabric Manager vem com dois usuários que são autorizados automaticamente: ■ root (ou administrator no Windows)
■ ofmadmin
Impeça que um atacante crie usuários no sistema de maneira que explore essas contas.
1. Estabeleça uma autenticação centralizada segura para o sistema.
2. Imediatamente depois de instalar o Oracle Fabric Manager, crie um usuário
denominado ofmadmin e atribua a essa conta uma senha aleatória.
Para obter mais informações, consulte “Assign a Role to a User” in Oracle Fabric Manager
5.0.2 Administration Guide.
Certificado SSL
Certificado SSL
Instale um Certificado SSL devidamente assinado para o Oracle Fabric Manager. Para obter mais detalhes, consulte “Configuring a Certificate for Oracle Fabric Manager” in Oracle Fabric
Manager 5.0.2 Installation Guide.
Bloquear o Acesso por Usuários não Listados
Por padrão, os usuários não listados têm permissão para acessar o Oracle Fabric Manager. Um usuário listado tem uma função de usuário definida no Oracle Fabric Manager, além da conta de usuário subjacente no SO do host. Se uma configuração for alterada para permitir usuários não listados, então um usuário com uma conta que possa ser autenticada para o host conseguirá efetuar login no Oracle Fabric Manager e receber a função operador (efetivamente acesso somente leitura). Quando usuários não listados forem bloqueados, então a autenticação do host do usuário não listado poderá ser bem-sucedida, mas o Oracle Fabric Manager negará esse acesso ao usuário, fazendo com que a autenticação pareça ter falhado.
Para verificar esse nível de segurança, garanta que o acesso por usuários não listados esteja desativado.
1. Clique no ícone de Manutenção do Fabric Manager.
2. Localize a opção Permitir Usuários Não Listados.
Se aparecer uma marca de seleção ao lado dessa opção, remova-a para desativar o acesso.
Segurança para Plug-Ins do Oracle Fabric Manager
É possível adicionar uma variedade de módulos plug-ins ao Oracle Fabric Manager. Considere alguns pontos gerais de segurança quando decidir instalar e usar qualquer módulo plug-in. Além disso, siga as diretrizes de segurança específicas de cada plug-in. As informações de segurança de alguns dos módulos plug-ins estão incluídas em “Segurança do Oracle Fabric Monitor” [11].
Segurança do Oracle Fabric Monitor
Se você usar o módulo plug-in Oracle Fabric Monitor com o Oracle Fabric Manager, siga essas diretrizes, além das práticas gerais de segurança do Oracle Fabric Manager.
Bloquear o Acesso por Usuários não Listados
Geral
■ O banco de dados deve estar em uma rede de gerenciamento e estar atrás do DMZ. ■ Mantenha back-ups do banco de dados.
MySQL
Proteja as funções MySQL incluídas neste módulo plug-in. Consulte o http://dev.mysql.com/ doc/refman/5.7/en/security-guidelines.html
Postgres
Proteja as funções postgres incluídas neste módulo plug-in. Consulte as diretrizes de segurança
da versão incluída do postgres em http://www.postgresql.org/docs/.
