Организация защиты при работе с Hardware Management Console

Простой способ обезопасить системную среду

В этой статье рассматриваются: пошаговые инструкции по установке консоли управления оборудованием (Hardware Management Console - HMC), дополнительные меры, которые вы можете предпринять после установки, и основные принципы эксплуатации, обеспепечивающие поддержку безопасности системы. HMC играет центральную роль в стратегии IBM в области виртуализации. Эта консоль контролирует оборудование, конфигурирует логические разделы (logical partitions - LPAR) и ведает назначением как физических, так и виртуальных устройств. HMC крайне важна для управления системами в виртуализированной среде.

Рон Баркер, консультирующий специалист по IT, IBM, IBM

Рон Баркер (Ron Barker) имеет более чем двадцатилетний опыт работы с процессорными серверами IBM RISC System/6000® и их операционными системами. Он является консультирующим специалистом организации IBM System p Advanced Technical Support (организация высокоуровневой технической поддержки IBM System p) в Америке. В его специализацию входят Hardware Management Console, Advanced POWER Virtualization, AIX Workload Manager и другие связанные с управлением системой продукты. Рон участвовал в написании нескольких справочников IBM, включая справочник по HMC, также он является соавтором фирменного описания HMC Best Practices в прошлом году. Вы можете написать ему по адресу rfbarker@us.ibm.com.



16.07.2007

Введение

Эта статья похожа на поваренную книгу, которая содержит рецепты, позволяющие обезопасить работу консоли управления оборудованием (HMC). Здесь даются четкие детальные описания того, что следует сделать, и того, что можно сделать.

HMC играет центральную роль в стратегии IBM в области виртуализации. Эта консоль контролирует оборудование, конфигурирует логические разделы (logical partitions - LPAR) и ведает назначением как физических, так и виртуальных устройств. HMC крайне важна для управления системами в виртуализированной среде. Компания IBM создала HMC как закрытую систему, предназначенную для выполнения только своих собственных специфических функций. Лицензированный внутренний код (Licensed Internal Code) HMC основывается на отрытой операционной системе, настроенной на увеличение уровня безопасности. При этом для завершения процесса обеспечения безопасности вам следует произвести дополнительную настройку.

В этой статье вы узнаете о тех шагах, которые следует выполнить при установке HMC. Также описываются те опциональные действия, которые по желанию могут быть осуществлены после установки. Заканчивается статья описанием некоторых основных принципов эксплуатации, обеспечивающих поддерживание безопасности системы.

Предварительные замечания

Выполнение описываемых в этой статье операций предполагает, что вы находитесь в консоли HMC и используете Web-приложение System Manager, представляющее собой графический интерфейс пользователя (graphical user interface - GUI). В случаях, когда требуется интерфейс командной строки, это особо отмечается. Часть процесса настройки может быть выполнена вне консоли, но некоторые операции могут быть выполнены только в ней. До некоторой степени первоначальная настройка может быть проведена с использованием Setup Wizard, но в этой статье внимание сосредоточено в первую очередь на использовании конфигурационных меню в HMC.

Во время установки

В этом разделе описываются шаги, которые необходимо предпринять во время установки HMC.

Производите установку в безопасном месте

По возможности HMC должна устанавливаться в безопасном месте, например, в центре обработки данных. HMC должна быть установлена в пространственной близости к серверам POWER5, которыми она будет управлять, чтобы у специалистов был удобный доступ ко всем этим системам. Если нет возможности так установить HMC, то стоит подумать о создании пароля разблокировки (power-on password), как описано в разделе Дополнительные меры.

Смена изначальных паролей

По умолчанию главный пользователь-администратор в HMC имеет имя hscroot. Изначальный пароль устанавливается при производстве как abc123. Корневой пароль по умолчанию passw0rd. Первый шаг при установке - это замена корневого пароля и пароля пользователя hscroot на комбинацию из семи букв и цифр.

Проделайте следующие шаги для смены паролей пользователей HMC:

  1. В области Navigation (Навигация) раскройте папку HMC Management (Управление HMC).
  2. Щелкните по иконкеHMC users (Пользователи HMC).
  3. В области Content (Содержимое), щелкните Manage HMC Users and Access (Управление пользователями и доступом в HMC). Должно открыться окно User Profiles (Профили пользователей).
  4. Выберите ID пользователя, параметры которого вы хотите изменить, нажмите User (Пользователь) в левом верхнем углу меню, затем выберите в выплывающем меню Modify (Изменить).
  5. В меню Modify User (Изменить Параметры Пользователя), введите новый пароль и подтвердите его, введя еще раз.
  6. Нажмите OK.

Создание пользователей и распределение ролей

Пользователь hscrootне может быть удален из системы, но его ID не должны пользоваться разные администраторы. Каждый администратор должен иметь уникальный ID и пароль, с которыми будут связаны определенные роли, в том числе, по необходимости, эквивалентные hscroot.

Задачи и функции, которые может выполнять пользователь, и роль управляемого пользователем ресурса определяют то, в какую группу следует этого пользователя включить. Заранее определенные роли это:

  • Super administrator (Главный администратор)
  • Service representative (Представитель сервиса)
  • Operator (Оператор)
  • Product engineer (Технический разработчик)
  • Viewer (Зритель)

По умолчанию эти роли применяются на всех ресурсах, которыми управляет HMC. Вы можете переделывать эти HMC роли, изменяя заранее определенные и ограничивая круг их возможностей отдельными ресурсами.

В качестве дополнения к созданию ID для системных администраторов не лишним было бы во время установки попробовать создать пользователя hscpe с ролью технического разработчика. Чтобы создать пользователя:

  1. В Web-based System Manager в области Navigation разверните папку HMC Management (Управление HMC) и щелкните по иконке Users (Пользователи).
  2. В области Content (Содержимое), нажмите Manage HMC Users and Access (Управление пользователями и доступом в HMC). Должно открыться окно User Profiles (Профили пользователей).
  3. Нажмите User > Add (Добавить пользователя). Заполните необходимые поля (задачи и роли) и нажмите OK.

Обеспечение удаленного доступа через командную строку

Удаленный доступ в HMC через командную строку возможен только с использованием Secure Shell (SSH). По умолчанию HMC не предоставляет такой возможности. Эту опцию, как правило, требуется сменить. Обеспечение удаленного доступа через командную строку требует выполнения следующих шагов:

  1. Разрешите удаленный доступ в меню HMC Configuration (Настройки HMC).
  2. Откройте порт 22 на соответствующем брандмауэре сетевого адаптера.

Чтобы иметь возможность изменить эту настройку, вы должны выступать в роли главного администратороа или представителя сервиса. Чтобы разрешить удаленный доступ в командной строке, проделайте следующее:

  1. В области Navigation (Навигация), щелкните по иконкеHMC Management (Управление HMC).
  2. В области Content (Содержимое) сделайте двойной щелчок по иконке HMC Configuration (Настройки HMC).
  3. В области Contents (Содержимое), нажмите Enable/Disable Remote Command Execution (Разрешить/Запретить выполнение удаленных команд).
  4. Поставьте отметку в поле Enable remote command execution (Разрешить выполнение удаленных команд).
  5. Нажмите OK.

Чтобы настроить брандмауэр так, что будет разрешен обмен информацией между Web-based System Manager и SSH, проделайте следующее:

  1. В области Navigation (Навигация), щелкните по иконке HMC Management (Управление HMC).
  2. На панели Content (Содержимое), нажите Customize Network Settings (Изменить настройки сети).
  3. Выберите закладку LAN Adapters (Адаптеры локальной сети).
  4. Выберите адаптер с которым вы хотите работать (вероятнее всего это будет eth1) и нажмите Details (Детали).
  5. Выберите закладку Firewall (Брандмауэр).
  6. Следуя одному из описанных ниже методов, вы можете либо разрешить доступ через брандмауэр любому IP адресу, использующему определенные приложения, либо указать один или более IP адресов.
    • Чтобы обеспечить возможность пропуска любого IP адреса, использующего определенные приложения, через брандмауэр:
      1. Выделите приложения в верхнем слева блоке.
      2. Выберите Allow Incoming (Разрешить вход) справа. Названия приложений в нижнем блоке означают, что они были выбраны.
    • Укажите, какие IP адреса можно пропускать через брандмауэр:
      1. Выделите приложения в верхнем слева блоке.
      2. ВыьеритеAllow Incoming by IP Address (Разрешить вход по IP адресу) справа.
      3. В окне Hosts Allowed (Разрешенные хосты) введите IP адрес и сетевой шаблон.
      4. Нажмите Add (Добавить) и затем OK.
  7. Нажмите OK.

Любое изменение сетевых установок требует перезапуска HMC. Предпочтительно производить изменения настроек брандмауэра во время первоначальной настройки сети.

Запретите удаленные виртуальные терминалы

По умолчанию HMC не позволяет удаленным пользователям, использующим Web-based System Manager, открывать виртуальный терминал на LPAR. Многие клиенты хотят получить такую возможность, но это представляет собой определенный риск для безопасности системы. Почему? Потому что программа виртуального терминала, запущенная Web-based System Manager клиентом не использует зашифрованный поток информации, даже если сам Web-based System Manager клиент используетшифрование Secure Socket Layer (SSL). (Обсуждение безопасности системы при удаленном доступе с использованием Web-based System Manager вы найдете в разделе Установка требования Web-based System Manager клиентам использовать SSL шифрование.) Логины, пароли и конфиденциальные данные, введенные или показанные в окне виртуального терминала, передаются по сети в виде незашифрованного текста.

Если вопрос безопасности актуален для вашей среды, то вы не должны разрешать этот вид доступа. Безопасной альтернативой для доступа к LPAR было бы использование отдельной программы, такой как SSH. Другая возможность заключается в том, чтобы входить в HMC с использованием SSH и вводить команды mkvterm или vtmenu. Эти команды дают вам доступ к разделам, и их сетевые пакеты данных зашифрованы от начала до конца.

Чтобы настроить доступ через удаленный терминал:

  1. В области Navigation (Навигация) щелкните HMC Configuration (Настройки HMC).
  2. На панели Contents (Содержимое) нажмите Enable or Disable Remote Virtual Terminal (Разрешить или запретить удаленный виртуальный терминал).
  3. Во всплывшем окне поставьте отметку в форме, разрешающей доступ через удаленный терминал. Если же вы хотите придерживаться политики, предлагаемой по умолчанию, то есть не разрешать соединения через удаленный терминал, то убедитесь, что отметка не проставлена.
  4. Нажмите OK.

Использование частной сети для управления серверами

Предпочтительно использование частной сети, в которой HMC работает как сервер Dynamic Host Configuration Protocol (DHCP, Динамический Протокол Конфигурирования Хостов) для всех управляемых систем. Если на управляемой HMC системе имеется Bulk Power Controller, то HMC должен использовать частную сеть. Частная сеть не маршрутизируется. Она состоит только из HMC и одного порта на каждом управляемом служебном процессоре. (С двумя HMC вы можете иметь две частные сети для каждого служебного процессора, и для каждой будет отдельный IP.) Администраторы могут выбрать один из 20 возможных диапазонов IP адресов подсети во всплывающем меню в DHCP или на экране конфигурации частной сети. Избегайте выбирать диапазон IP адресов, являющийся смежным для адреса какого-либо другого сетевого адаптера в HMC.

Чтобы настроить HMC как DHCP сервер:

  1. В области Navigation (Навигация), раскройте HMC, с которым вы собираетесь работать. HMC упорядочены по имени хоста или по IP адресу.
  2. Откройте HMC Management (Управление HMC).
  3. Нажмите HMC Configuration (Настройки HMC).
  4. На панели Contents (Содержимое), нажмите Customize network settings (Изменить настройки сети).
  5. Выберите закладку LAN Adapters (Адаптеры локальной сети).
  6. Выберите адаптер, с которым вы хотите работать и нажмите Details (Детали).
  7. Выберите закладку LAN Adapter (Адаптер локальной сети).
  8. В разделе DHCP Server (DHCP сервер) проставьте галочки Enable DHCP Server (Разрешить DHCP сервер), чтобы разрешить HMC работать как DHCP сервер.
  9. Введите адресный диапазон DHCP сервера.
  10. Нажмите OK.

Использование открытой сети для мониторинга логических разделов (LPAR) и удаленного доступа

Настройте второй адаптер (например eth1) так, чтобы администраторам был разрешен удаленный доступ к HMC и мониторинг логических разделов на управляемых системах. Не забудьте открыть сетевые порты брандмауэра на этом адаптере для Web-based System Manager и SSH, как это описано выше. Как часть своей сервисной стратегии HMC осуществляет по открытой сети мониторинг состояния управляемых разделов, используя при этом протокол Resource Monitoring and Control (RMC, Мониторинг и Контроль Ресурсов), который использует 657. RMC также требуется для осуществления динамического создания разделов (DLPAR, dynamic logical partitioning).

Чтобы настроить адаптер локальной сети (LAN adapter) на открытую сеть:

  1. В окне Navigation (Навигация), выберите HMC Management (Управление HMC).
  2. В окне Contents (Содержимое), выберите HMC Configuration (Настройки HMC).
  3. Выберите задачу Customize Network Settings (Изменить настройки сети).
  4. В меню Customize Network Settings выберите закладку LAN Adapters (Адаптеры локальной сети).
  5. Выделите адаптер, который вы хотите настроить, например eth1, и выберите закладку Details (Детали).
  6. В меню LAN Adapter Details, выберите кнопку с зависимой фиксацией Open (Открыть).
  7. Выберите необходимую Media Speed (Скорость медиа) для установки скорости и двустороннего соединения.
  8. Выберите Partition communication (Коммуникация разделов) чтобы автоматически установить RMC для логического раздела.
  9. Введите соответствующий интерфейсный TCP/IP-адрес и маску подсети.
  10. Выберите закладку Firewall (Брандмауэр) и проделайте описанные выше шаги для разрешения пропуска Web-based System Manager и SSH через брандмауэр в зависимости от приложения или от приложения вместе с IP адресом.
  11. В меню Customize Network Settings (Изменить настройки сети), выберите меню Name Services (Сервисы имен) и меню Routing (Маршрутизация) и укажите доменный сервис имен (Domain Name Service) и IP адреса трассировки, как того потребует ваш сетевой администратор.
  12. Перезапустите HMC после того, как все изменения сети будут сделаны.

Смена паролей на служебном процессоре

При первом соединении HMC с управляемым сервером вы можете или произвести установку пароля служебного процессора для доступа HMC (HMC Access password) или ввести ранее установленный пароль. Служебный процессор использует этот пароль для аутентификации и авторизации операций по управлению, инициированных HMC. Устанвливая пароль для доступа HMC, вы можете также установить администраторский и общий пароли служебного процессора. По умолчанию ID пользователя-администратора это admin, и пароль тоже admin. ID общего пользователя по умолчанию general и пароль тоже general. Все эти пароли следует изменить при установке системы. Хранить эти и все другие пароли следует в безопасной, но доступной локации.

Чтобы установить пароль для доступа к HMC во время первоначальной установки в частной сети:

  1. В окне Server and Partition: Server Management (Сервер и разделы: Управление сервером) вы увидите появление нового управляемого сервера как IP адреса вместе с сообщением Authentication Pending (аутентификация заявлена).
  2. Задайте пароль управляемой системы. Это установит пароль доступа для HMC на служебном процессоре. В различных меню служебного процессора он будет называться просто пароль HMC (HMC password).
  3. Открыв вкладки Admin и General, вы можете установить пароли для пользователей general и admin.

На служебном процессоре имеется как ASCII, так и GUI. Последний основан на HTTPS и называется Advanced System Management Interface (Усовершенствованный интерфейс управления системой). Чтобы установить или изменить пароли для служебного процессора с помощью Advanced System Management Interface, проделайте следующие шаги:

  1. Подсоедините кабель Ethernet портативного компьютера к порту HMC1 на служебном процессоре управляемой системы.
  2. Установите IP адрес портативного компьютера как 192.168.2.146.
  3. В браузере портативного компьютера откройте URL https://192.168.2.147.
  4. На панели Advanced System Management Interface Welcome (Добро пожаловать в Продвинутый интерфейс управления системой) введите ID и пароль пользователя-администратора.
  5. В области Navigation (Навигация), разверните Login Profile (параметры входа в систему).
  6. Выберите Change Password (Изменить пароль).
  7. Укажите необходимую информацию (пользователя HMC и пароль) и нажмите Continue (Продолжить).

Изменения пароля Advanced System Management Interface вступят в силу сразу же.

Установка безопасной call-home коммуникации

Клиенты могут настраивать свои серверы на оповещение сервиса IBM (IBM Service) в случае проблем с оборудованием. В системе IBM System p™ имеются четыре способа внешнего соединения :

  • Локальный модем
  • Internet
  • Виртуальная частная Internet сеть (Internet VPN - virtual private network)
  • Транзитные системы (другие HMC)

При выборе Internet используется SSL и возможен только внешний траффик. Как в случае модема, так и в случае Internet VPN для безопасного соединения используется Internet Protocol Security (IPSec). Во всех случаях IBM передаются только связанные с сервисом данные. Модем и Internet VPN можно настроить на внутренний траффик, если потребуется. В случае HMC V6.1 Internrt также поддерживаются прокси-серверы.

Чтобы установить безопасную внешнюю коммуникацию с помощью Internet:

  1. HMC должен иметь адаптер локальной сети (Local Area Network - LAN), подсоединенный к сети, имеющей доступ в Internet.
  2. Адаптер локальной сети должен быть настроен с указанием использующегося по умолчанию шлюза, предоставляющего доступ в Internet.
  3. Если имеется брандмауор между HMC и Internet, он должен разрешать внешние TCP/IP соединения с HMC через порт 443 на каждый из следующих IP адресов:
    • 129.42.160.48 and 207.25.252.200 (Сервер сервиса IBM для системной аутентификации)
    • 129.42.160.49 and 207.25.252.204 (Доступ HMC к сервису IBM для Северной и Южной Америки)
    • 129.42.160.50 and 207.25.252.205 (Доступ HMC к сервису IBM для всех прочих регионов)

    Вам нужно только указать IP адреса, необходимые для установки доступа к серверу системной аутентификациии соответствующие региону, в котором вы находитесь.

  4. В папке Service Applications (Служебные приложения) выберите Remote Support (Удаленная поддержка).
  5. Выберите задачу Customize Outbound Connectivity (Настроить внешнее соединение).
  6. В меню Customize Outbound Connectivity menu выберите Internet.
  7. Поставьте галочку при Enable local system as a call-home server (Разрешить локальной системе быть call-home сервером).
  8. Поставьте галочку при Allow an existing Internet connection for service (Разрешить существующее Internet соединение для сервиса).
  9. Если используется модуль доступа к Internet (Internet proxy), заполните в меню необходимую информацию.
  10. Выберите Test (Тест) для проверки того, что внешнее соединение проходит удачно.

Дополнительные меры

В этом разделе рассматриваются дополнительные меры, которые вы можете предпринять после инсталляции, если вам это потребуется .

Установка требования Web-based System Manager клиентам использовать SSL шифрование

Вы можете установить требование, чтобы при любом удаленном доступе к HMC использовалось шифрование SSL. Чтобы сделать это, необходимо настроить System Manager Security (Безопасность системного менеджера) на HMC и предъявить требование к Web-based System Manager клиентам использовать SSL-шифрованную версию. Администратор должен выполнить следующие шаги настройки в консоли HMC.

Шаги, необходимые для установки System Manager Security:

  1. Настройте удостоверяющий центр (Certificate Authority) в HMC.
  2. Создайте защищенные файлы с секретным и открытым ключами.
  3. Установите защищенный файл с секретным ключом на HMC.
  4. Выберите способ безопасного соединения для вашей HMC; например, SSL шифрование, требуемое от всех удаленных клиентов.
  5. Скопируйте защищенный файл с открытым ключом на пустую дискету.
  6. Передайте защищенный файл с открытым ключом всем удаленным Web-based System Manager клиентам.

Чтобы настроить удостоверяющий центр (Certificate Authority) на вашем HMC:

  1. Разверните папку System Manager Security на рабочем столе и выберите Certificate Authority в области навигации.
  2. Выберите задачу Configure this system as a System Manager Certificate Authority (Настроить эту систему как удостоверяющий центр системных менеджеров).
  3. Откроется мастер Define Internal Certificate Authority (Определить внутренний удостоверяющий центр). Нажмите Next (Далее).
  4. Мастер запросит у вас название организации. Введите его и нажмите Next.
  5. Мастер покажет вам дату истечения срока действия того сертификата (удостоверения), который вы собираетесь создать. Проверьте эту дату (по умолчанию срок действия - четыре года) и нажмите Next.
  6. Мастер запросит у вас пароль для защищенного файла Certificate Authority. Напечатайте нужный пароль дважды и нажмите Next.
  7. Мастер выдаст вам следующее сообщение: Certificate Authority has been configured (Удостоверяющий центр был настроен). Выберите Finish (Закончить).

Чтобы создать защищенные файлы с секретным ключом:

  1. Откройте папку System Manager Security. Выберите приложение Certificate Authority в области навигации.
  2. Выберите задачу Generate Servers' Private Key Ring Files (Создать на сервере защищенные файлы с секретным ключом).
  3. Откроется окно, запрашивающее у вас пароль, введенный на шаге 6 выше.
  4. Появится окно под названием Certificate Servers Private Key Ring Files (Защищенные файлы удостоверяющих серверов с секретными ключами). Проверьте, правильно ли отображено имя хоста HMC, появляющееся в блоке в верхнем левом углу, а затем нажмите Add (Добавить).
  5. Поставьте галочку при Encrypt the server private key files (Зашифровать файлы сервера с секретными ключами) внизу экрана. Система запросит у вас пароль для защищенного Certificate Authority файла с ключами, который был создан на шаге 6 выше. Введите пароль дважды.
  6. Укажите имя организации в соответствующем блоке ввода и нажмите OK.
  7. Когда генерация ключа будет закончено, появится информационное окно. Нажмите OK, чтобы закрыть это окно .

Чтобы скопировать защищенный файл с окрытым ключом на дискету: (Защищенные файлы с открытым и с секретным ключом были созданы на предыдущем этапе.)

  1. Раскройте папку System Manager Security и выберите приложение Certificate Authority в области навигации.
  2. Выберите задачу Copy this Certificate Authority's Public Key Ring File to diskette (Скопировать этот файл с открытым ключом удостоверяющего центра на дискету).
  3. Откроется окно Copy Certificate Authority Public Key to Diskettes (Скопировать открытый ключ удостоверяющего центра на дискету) .
    • Если вы собираетесь использовать дискету для передачи защищенного файла с открытым ключом удаленным Web-based System Manager клиентам систем HMC или AIX®, просто вставьте дискетное устройство (не обязательно отформатированное) в дисковод.
    • Если вы собираетесь использовать дискету для передачи защищенного файла с открытым ключом клиентам, использующим Windows, используйте форматированную дискету.
  4. Вставив дискету, выберите тип клиентов (HMC/AIX клиенты или PC клиенты) и нажмите OK.
  5. Когда копирование будет закончено, появится информационное окно. Нажмите OK, чтобы его закрыть.

Если вы выбрали "HMC or AIX Client" (HMC/AIX клиент), дискета будет содержать только один файл, SM.pubkr, в формате TAR. Если вы выбрали "PC Client," (PC клиент), дискета будет содержать тоже только один файл, SM.pubkr, в формате DOS. Не надо копировать этот файл в какую-либо доступную по сети локацию, такую как FTP сервер. Если пользователь с нехорошими намерениями украдет этот файл, предоставляемый HMC механизм безопасности не сможет блоировать доступ этому хакеру.

Чтобы установить защищенный файл с секретным ключом на данном сервере:

  1. Раскройте папку System Manager Security и выберите приложение Server Security (Безопасность сервера) в области навигации.
  2. Выберите задачу Install the private key ring file for this server (Установить защищенный файл с секретным ключом на этом сервере). Откроется окно Install Private Key Ring File (Установить защищенный файл с секретным ключом).
    • Если вы только что создали пару защищенных файлов с секретными ключами на вашей HMC, выберите опцию Directory (Папка) и нажмите OK.
    • Если защищенный файл с секретным ключом хранится в виде TAR архива на HMC, выберите опцию TAR file. Нажмите OK и укажите имя и локацию файла.
    • Если у вас есть дискетное устройство для резервных копий, на котором хранятся защищенные файлы с секретными ключами сервера, выберите опцию TAR diskette и нажмиите OK.

      (Вы можете сделать бэкап защищенного файла с секретным ключом сервера используя задачу "Copy Servers' Private Key Ring Files to diskette" (Скопировать защищенные файлы с секретным ключом удостоверяющего центра на дискету), имеющуюся в приложенииCertificate Authority.)

  3. Откроется окно, которое запросит у вас пароль, который использовался при создании секретного ключа на HMC. Введите этот пароль и нажмите OK.
  4. Когда эта задача будет выполнена, появится информационное окно. Нажмите OK, чтобы закрыть его.

Установите сначала Web-based System Manager клиент на удаленной рабочей станции,а затем можно установить образ безопасности.

  1. На удаленном клиенте откройте в браузере следующий URL: http:<HMC_fully_qualified_hostname>/remote_client.html.
  2. Введите ID пользователя и пароль.
  3. Проделайте все шаги по установке клиента с помощью Install Shield или Java™ Web Start.
  4. Чтобы установить пакет безопасности SSL (SSL security package) для Web-based System Manager, откройте в браузере следующий URL: http:<HMC_fully_qualified_hostname>/remote_client_security.html.
  5. Последуйте всем данным инструкциям, используя Install Shield или Java Web Start.

Затем, передайте окрытый ключ удостоверяющего центра вашим удаленным клиентам, использующим Windows®, Linux® или AIX. Используйте командную строку или какие-то автономные инструменты, чтобы скопировать открытый ключ удостоверяющего центра с переносного устройства в папку на удаленном клиенте, содержащую базу кода. Файл с открытым ключом удостоверяющего центра должн быть скопирован в бинарном формате. Папки с базами кода это:

  • Program files\websm\codebase на Windows клиенте
  • /usr/websm/codebase на AIX клиенте
  • /opt/websm/codebase на Linux клиенте

Чтобы настроить данную систему как Secure System Manager Server (Сервер безопасного системного менеджера):

  1. Раскройте папку System Manager Security, выберите приложение Server Security application в области навигации.
  2. Выберите задачу Configure this system as a Secure System Manager Server (Настроить данную систему как Secure System Manager Server .
  3. Откроется мастер Configure System Manager Security. Нажмите Next.
  4. Мастер предложит вам выбрать одну из следующих опций:
    • Always use a secure connection (Все время использовать безопасное соединение). Выберите эту опцию если вы хотите запретить использующие SSL соединения HMC с Web-based System Manager клиентами.
    • Allow the user to choose secure or unsecured connections (Разрешить пользователям выбирать безопасный или небезопасный тип соединения). Эта опция оставляет за удаленным пользователем выбор того, как подсоединяться к HMC. Едва ли системный администратор с легкостью разрешит такое.
  5. Выберите нужную опцию безопасности из только что описанных и нажмите Next.
  6. Появится информационное окно. Нажмите OK, чтобы закрыть его.

Задание пароля разблокировки (power-on password)

Если ваша HMC находится не в безопасном месте, таком как центр обработки данных, вам стоит подумать о том, чтобы установить пароль разблокировки. Это исключит возможность для кого-либо постороннего вставить самозагружаемую дискету или CD и нажать кнопку включения машины, чтобы перезагрузиться в автономный режим. Пароль включения нужно будет вводить прежде, чем HMC завершит первоначальную загрузку программ (Initial Program Load - IPL). Также его нужно будет ввести, если во время первоначальной загрузки программ будет сделана попытка нажать клавишу F1 и попасть в установочное меню.

С этим связан некоторый риск. Если установить пароль, а потом забыть его, понадобится вызов технической помощи для извлечения платы HMC или батареи -- результатом может быть выход системы из строя. Поэтому, совершенно необходимо, чтобы любой пароль разблокировки или административный пароль сохранялся в безопасной и легко доступной локации.

Чтобы создать пароль включения:

  1. Запустите сервер.
  2. Когда вам будет предложен выбор, нажмите F, чтобы зайти в утилиту. (Название утилиты можит быть разным в зависимоти от модели HMC и уровня BIOS.)
  3. Найдите подменю System Security (Системная безопасность) или подменю Passwords (Пароли).
  4. Следуя подсказкам, создайте и сохраните пароль разблокировки.

Запрещение удаленного доступа с помощью Web-based System Manager

Возможно запретить удаленный доступ в HMC. При этом подразумевается, что системным алминистраторам придется выполнять свою работу только на самой системной консоли. Обычно это не желательно, но все-таки представляет из себя еще одну опцию безопасности.

Чтобы запретить удаленный доступ с использованием Web-based System Manager:

  1. Отредактируйте вкладку открытой сети(обычно eth1) Firewall (Брандмауэр), чтобы запретить пропуск Web-based System Manager через брандмауэр.
  2. В интерфейсе командной строки введите chhmc –c websm –s disable.

Управление в течение длительного времени

В этом разделе излагаются некоторые основные принципы эксплуатации, которые помогут вам поддерживать безопасность вашей системы.

Отслеживание обновлений средств безопасности

Обязательно следите за новыми релизами, обновлениямии исправлениями. Есть два способа делать это:

  • Используйте сервис рассылки по технической поддержке, чтобы получать e-mail-ы, сообщающие о новых доступных в сети обновлениях.
  • Регулярно сами просматривайте сетевые материалы на сайте Hardware Management Console (см. Ресурсы).

Вы можете подписаться на автоматическое e-mail извещение в разделе Additional Resources (Дополнительные ресурсы) на этом сайте.

Страница Web-рассылки имеет вкладку Bulletins (Сводки). выбрав эту вкладку вы можете найти детальную информацию по различным темам за последние месяцы. Например, вы можете поискать обновления HMC в разделах All Topics (Все темы), Corrective service (Исправление ошибок), Security fixes (Исправленные версии средств безопасности).

Проверяйте отчетность о работе системы, используя lssvcevents и syslogd

Системный администратор может отслеживать действия, произведенные на HMC, например изменения параметров разделов или другие важные действия. Делать это можно как в графическом интерфейсе, так и в интерфейсе командной строки.

Чтобы просматривать данные в графическом интерфейсе:

  1. В области Navigation (Навигация), выберите HMC Management (Управление HMC).
  2. В окне Content (Содержимое), сделайте двойной щелчок по HMC Configuration (Настройки HMC).
  3. Выберите задачуView Console Events (Просмотреть события консоли).
  4. Откроется окно View Console Events со списком событий, упорядоченным по дате, времени и названию события.
  5. Выплывающее меню View (Вид) слева вверху на экране даст вам возможность просматривать события за определенные промежутки времени, а также просиатривать события в порядке их происшествия или в обратном порядке.

Чтобы просматривать события консоли в интерфейсе командной строки:

  1. Войдите в систему HMC через SSH, используя ID пользователя с ролью системного администратора.
  2. Введите команду lssvcevents –t console для просмотра событий консоли.
  3. Введите lssvcevents -–help, чтобы просмотреть описание других доступных ключей (признаков), позволяющих осуществлять более узкий поиск по дате или по теме.

Вы обнаружите, что командная строка предоставляет больше возможностей для поиска. В ней можно фильтровать события по специальным типам сообщений об этих событиях и проводить более эффективный поиск среди таких групп данных.

Чтобы разрешить работу syslogd и пересылку данных о событиях на удаленный сервер:

  1. Войдите в систему HMC через SSH.
  2. В командной строке введите:
    chhmc –c syslog –s add –h remotehost.company.com
  3. На remotehost.company.com должен действовать демон syslogd, готовый принимать сообщения по сети. В большинстве систем Linux это можно обеспечить путем добавления опции –r к SYSLOGD_OPTIONS в файле /etc/sysconfig/syslog. В AIX, файл /etc/syslog.conf можно отредактировать путем снятия комментариев в соответствующих строках в конце файла, таких как:
    *.debug /tmp/syslog.out rotate size 100k files 4
    *.crit /dev/console

    Затем системный администратор должен ввести:
    # touch /tmp/syslog.out
    # refresh –s syslogd

Поддерживание кода HMC на нужном уровне

HMC крайне тесно связан с программно-аппаратными средствами сервера. HMC используется для управления ими. Новые программно-аппаратные средства, например, средства для новых серверов, могут потребовать от HMC обновления. К счастью, код HMC может обеспечивать поддержку различных уровней программно-аппаратных средств, поэтому необязательно производить обновления всех серверов с целью поставить их на один уровень с самым новым сервером.

Имеется таблица кода, которая показывает, какие уровни программно-аппартных средств поддерживаются различными имеющимися уровнями HMC. Эту таблицу вы можете найти на POWER5 code matrix (Таблица кода POWER5)(см. Ресурсы). В разделе Supported code combinations (Поддерживаемые комбинации кода) вы найдете таблицы для серверов, основанных на этой модели. Имеются две классификации: серверы высокого класса и все прочее. Различным типам кодов в этой таблице соответствуют определенные цвета.

  • Для того, что окрашено серым, больше не выпускаются обновления.
  • Окрашенное желтым поддерживается, но ограниченно.
  • Окрашенное зеленым считается соответствующим макимально стабильному на данный момент уровню.
  • Окрашенное синим - это последний по времени уровень кода.

Учитывая развитие HMC и программно-аппаратных средств, вам неообходимо будет обеспечить возможность поддержки самых новых серверов, при этом все остальные должны будут продолжать соответствовать желтым и зеленым блокам в таблице. К счастью, обновление кода HMC оказывает не слишком разрушительное влияние на ваши системы, так как оно не мешает поддержке производственных серверов. Перезапуск HMC не влияет на управляемые HMC логические разделы


Резюме

HMC был создан IBM как сервер для специальных задач. Код HMC исключает возможносьть использования многих сервисов, которые обычно имеются на открытых операционных системах, таких как telnet доступ, sendmail и так далее. HMC использует ограниченный shell, чтобы ограничить доступ к созданным разработчиками командам, которые позволяют расширить функции HMC.

Вам следует устанавливать и управлять HMC корректно, обязательно предприняв все разумные меры безопасности. Это предполагает смену паролей и дальнейшее управление средствами безопасности с учетом настроек сети. В HMC имеются различные способы контроля удаленного доступа, включая возможность потребовать использования SSL шифрования для любого удаленного доступа.

Возможно, хотя обычно это и нежелательно, управлять HMC только на самой консоли. Для полноценной работы функций DLPAR (динамические разделы) и Service Focal Point (фокусная точка сервиса), должен быть открыт только один порт между HMC и управляемым LPAR, порт 657. HMC может быть настроена на извещение IBM Service по безопасному Internet соединению о случающихся ошибках и проблемах оборудования.

Управление HMC, в том числе отслеживание появление новых обновленных и исправленных версий средств безопасности, является ответственной задачей пользователей HMC. В решении этой задачи помогают различные созданные IBM средства.

Ресурсы

Научиться

Получить продукты и технологии

Обсудить

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=AIX и UNIX
ArticleID=240430
ArticleTitle=Организация защиты при работе с Hardware Management Console
publish-date=07162007