Guia de Segurança dos Servidores da
Série SPARC M7
Número do Item: E63783-01
Outubro de 2015
Número do Item: E63783-01
Copyright © 2015, Oracle e/ou suas empresas afiliadas. Todos os direitos reservados e de titularidade da Oracle Corporation. Proibida a reprodução total ou parcial.
Este programa de computador e sua documentação são fornecidos sob um contrato de licença que contém restrições sobre seu uso e divulgação, sendo também protegidos pela
legislação de propriedade intelectual. Exceto em situações expressamente permitidas no contrato de licença ou por lei, não é permitido usar, reproduzir, traduzir, divulgar, modificar,
licenciar, transmitir, distribuir, expor, executar, publicar ou exibir qualquer parte deste programa de computador e de sua documentação, de qualquer forma ou através de qualquer
meio. Não é permitida a engenharia reversa, a desmontagem ou a descompilação deste programa de computador, exceto se exigido por lei para obter interoperabilidade.
As informações contidas neste documento estão sujeitas a alteração sem aviso prévio. A Oracle Corporation não garante que tais informações estejam isentas de erros. Se você
encontrar algum erro, por favor, nos envie uma descrição de tal problema por escrito.
Se este programa de computador, ou sua documentação, for entregue / distribuído(a) ao Governo dos Estados Unidos ou a qualquer outra parte que licencie os Programas em nome
daquele Governo, a seguinte nota será aplicável:
U.S. GOVERNMENT END USERS: Oracle programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation,
delivered to U.S. Government end users are "commercial computer software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental
regulations. As such, use, duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, any programs installed on the
hardware, and/or documentation, shall be subject to license terms and license restrictions applicable to the programs. No other rights are granted to the U.S. Government.
Este programa de computador foi desenvolvido para uso em diversas aplicações de gerenciamento de informações. Ele não foi desenvolvido nem projetado para uso em aplicações
inerentemente perigosas, incluindo aquelas que possam criar risco de lesões físicas. Se utilizar este programa em aplicações perigosas, você será responsável por tomar todas e
quaisquer medidas apropriadas em termos de segurança, backup e redundância para garantir o uso seguro de tais programas de computador. A Oracle Corporation e suas afiliadas se
isentam de qualquer responsabilidade por quaisquer danos causados pela utilização deste programa de computador em aplicações perigosas.
Oracle e Java são marcas comerciais registradas da Oracle Corporation e/ou de suas empresas afiliadas. Outros nomes podem ser marcas comerciais de seus respectivos proprietários.
Intel e Intel Xeon são marcadas comerciais ou marcas comerciais registradas da Intel Corporation. Todas as marcas comerciais SPARC são usadas sob licença e são marcas
comerciais ou marcas comerciais registradas da SPARC International, Inc. AMD, Opteron, o logotipo da AMD e o logotipo do AMD Opteron são marcas comerciais ou marcas
comerciais registradas da Advanced Micro Devices. UNIX é uma marca comercial registrada licenciada por meio do consórcio The Open Group.
Este programa ou equipamento e sua documentação podem oferecer acesso ou informações relativas a conteúdos, produtos e serviços de terceiros. A Oracle Corporation e suas
empresas afiliadas não fornecem quaisquer garantias relacionadas a conteúdos, produtos e serviços de terceiros e estão isentas de quaisquer responsabilidades associadas a eles, a
menos que isso tenha sido estabelecido entre você e a Oracle em um contrato vigente. A Oracle Corporation e suas empresas afiliadas não são responsáveis por quaisquer tipos de
perdas, despesas ou danos incorridos em consequência do acesso ou da utilização de conteúdos, produtos ou serviços de terceiros, a menos que isso tenha sido estabelecido entre
você e a Oracle em um contrato vigente.
Acessibilidade da Documentação
Para obter informações sobre o compromisso da Oracle com a acessibilidade, visite o Web site do Programa de Acessibilidade da Oracle em http://www.oracle.com/pls/topic/
lookup?ctx=acc&id=docacc.
Acceso ao Oracle Support
Os clientes da Oracle que adquiriram serviços de suporte têm acesso a suporte eletrônico por meio do My Oracle Support. Para obter informações, visite http://www.oracle.com/
pls/topic/lookup?ctx=acc&id=info ou http://www.oracle.com/pls/topic/lookup?ctx=acc&id=trs caso tenha deficiência de audição.
Conteúdo
Noções Básicas de Segurança de Hardware ...................................................... 7
Restrições de Acesso ....................................................................................... 7
Números de Série ........................................................................................... 8
Discos Rígidos ............................................................................................... 8
Noções Básicas de Segurança de Software ....................................................... 9
▼ Impedir o Acesso Não Autorizado (SO Oracle Solaris) ..................................... 9
▼ Impedir o Acesso Não Autorizado (Oracle ILOM) ........................................... 9
▼ Impedir o Acesso Não Autorizado (Oracle VM Server for SPARC) .................... 10
Restrição de Acesso (OBP) ............................................................................. 10
▼ Implementar a Proteção de Senha ........................................................ 10
▼ Ativar o Modo de Segurança .............................................................. 11
▼ Desativar o Modo de Segurança .......................................................... 12
▼ Verificar Falhas de Login (OBP) ......................................................... 12
▼ Fornecer um Power-On Banner ........................................................... 12
Oracle System Firmware ................................................................................ 13
Inicialização WAN Segura .............................................................................. 13
5
6
Guia de Segurança dos Servidores da Série SPARC M7 • Outubro de 2015
Noções Básicas de Segurança de Hardware
O isolamento físico e o controle do acesso compõem a base da arquitetura de segurança.
Garantir que o servidor físico esteja instalado em um ambiente seguro protege-o contra o acesso
não autorizado. Da mesma forma, o registro de todos os número de série ajuda a evitar o uso
não autorizado dos componentes de hardware.
Estas seções fornecem diretrizes gerais sobre segurança do hardware para os servidores da série
SPARC M7 da Oracle.
■
■
■
“Restrições de Acesso” [7]
“Números de Série” [8]
“Discos Rígidos” [8]
Restrições de Acesso
■
■
■
■
■
■
■
Instale os servidores e equipamentos relacionados em um local trancado e com acesso
restrito.
Se o equipamento for instalado em um rack com uma porta com trava, só destranque a porta
do rack durante a manutenção dos componentes no rack. O travamento das portas também
restringe o acesso aos dispositivos hot-plug ou hot-swap.
Guarde todas as peças de reposição sobressalentes em um gabinete que possa ser trancado.
Restrinja o acesso ao gabinete trancado a pessoas autorizadas.
Periodicamente, verifique o status e a integridade das travas no rack e no gabinete de peças
para protegê-los contra, ou detectar, falsificação ou portas destravadas acidentalmente.
Guarde as chaves do gabinete em um local seguro com acesso limitado.
Restrinja o acesso às consoles USB. Dispositivos como controladores de sistema, PDUs
(unidades de distribuição de energia) e comutadores de rede podem ter conexões USB.
O acesso físico é um método mais seguro de acessar um componente, já que ele não é
suscetível a ataques baseados na rede.
Conecte a console a um KVM externo para permitir o acesso remoto à console. Em geral,
os dispositivos KVM suportam autenticação de dois fatores, controle de acesso centralizado
e auditoria. Para obter mais informações sobre as diretrizes de segurança e as melhores
práticas para KVMs, consulte a documentação que acompanha o dispositivo KVM.
Noções Básicas de Segurança de Hardware
7
Números de Série
Números de Série
Registre cuidadosamente todos os números de série quando os componentes forem recebidos
e colocados no inventário, o que impossibilita o uso de componentes de hardware não
autorizados. Antes de qualquer componente ser instalado ou usado, certifique-se de confirmar
sua autenticidade comparando o respectivo número de série com o que foi registrado quando o
componente foi recebido. Siga estas práticas para proteger o hardware:
■
■
■
Mantenha um registro dos números de série de todo o hardware.
Faça uma marca de segurança em todos os itens relevantes de hardware do computador,
como peças de reposição. Use canetas especiais ultravioletas ou etiquetas em alto-relevo.
Mantenha as chaves de ativação e as licenças do hardware em um local seguro e de fácil
acesso ao gerente do sistema para os casos de emergência. Os documentos impressos talvez
sejam o seu único comprovante de propriedade.
Os leitores de identificação por radiofrequência (RFID) sem fio podem simplificar ainda mais o
rastreamento de ativo. Um white paper da Oracle, How to Track Your Oracle Sun System Assets
by Using RFID, está disponível em:
http://www.oracle.com/technetwork/articles/systems-hardware-architecture/o11001-rfid-oracle-214567.pdf
Discos Rígidos
Discos rígidos são geralmente usados para armazenar informações confidenciais. Para proteger
essas informações contra a divulgação não autorizada, os discos rígidos devem ser limpos antes
de serem reutilizados, descontinuados ou descartados.
■
■
■
Use ferramentas de limpeza de disco como o comando format (1M) do Oracle Solaris para
apagar completamente todos os dados do disco rígido.
É recomendado que as organizações consultem suas políticas de proteção de dados para
determinar o método mais apropriado de limpeza dos discos rígidos.
Se necessário, utilize o Serviço de Retenção de Dispositivos e Dados de Cliente da Oracle.
http://www.oracle.com/us/support/library/data-retention-ds-405152.pdf
8
Guia de Segurança dos Servidores da Série SPARC M7 • Outubro de 2015
Noções Básicas de Segurança de Software
A maior parte da segurança do hardware é implementada por meio de medidas de software.
Estas seções fornecem diretrizes gerais de segurança do software para os servidores da série
SPARC M7.
■
■
■
■
■
■
Impedir o Acesso Não Autorizado (SO Oracle Solaris) [9]
Impedir o Acesso Não Autorizado (Oracle ILOM) [9]
Impedir o Acesso Não Autorizado (Oracle VM Server for SPARC) [10]
“Restrição de Acesso (OBP)” [10]
“Oracle System Firmware” [13]
“Inicialização WAN Segura” [13]
Impedir o Acesso Não Autorizado (SO Oracle Solaris)
Use os comandos do SO Oracle Solaris para restringir o acesso ao software
do Oracle Solaris, fortalecer o SO, usar recursos de segurança e proteger
aplicativos.
Obtenha o documento Oracle Solaris Security Guidelines referente à versão que você está
usando:
■
http://www.oracle.com/goto/Solaris11/docs
■
http://www.oracle.com/goto/Solaris10/docs
Impedir o Acesso Não Autorizado (Oracle ILOM)
1.
Use os comandos do Oracle ILOM para restringir o acesso do usuário ao
software do Oracle ILOM, alterar a senha definida de fábrica, limitar o uso da
conta de superusuário root e proteger a rede privada para o processador de
serviço.
Obtenha o Oracle ILOM Security Guide em:
http://www.oracle.com/goto/ILOM/docs
2.
Quando possível, use os comandos específicos da plataforma Oracle ILOM para
proteger domínios individuais, criando contas de usuário com funções que se
aplicam a um domínio físico específico.
Noções Básicas de Segurança de Software
9
Impedir o Acesso Não Autorizado (Oracle VM Server for SPARC)
Quando você atribui funções de usuário a um domínio físico, os recursos desse domínio se
espelham nas funções de usuário atribuídas à plataforma, mas estão restritos aos comandos
executados no componente especificado.
Observação - Só as funções de usuário do tipo administrador (a), console (c) e redefinir (r)
podem ser atribuídas a domínios físicos individuais.
Obtenha o SPARC M7 Series Servers Administration Guide em:
http://www.oracle.com/goto/m7/docs
Impedir o Acesso Não Autorizado (Oracle VM Server for
SPARC)
Use os comandos do Oracle VM for SPARC para restringir o acesso ao software
do Oracle VM for SPARC.
Obtenha o Oracle VM for SPARC Security Guide em http://www.oracle.com/goto/vmsparc/docs.
Restrição de Acesso (OBP)
Esses tópicos descrevem como restringir o acesso ao prompt do OBP.
■
■
■
■
■
Implementar a Proteção de Senha [10]
Ativar o Modo de Segurança [11]
Desativar o Modo de Segurança [12]
Verificar Falhas de Login (OBP) [12]
Fornecer um Power-On Banner [12]
Para obter informações sobre como definir as variáveis de segurança do OpenBoot, consulte a
documentação do OpenBoot em:
http://www.oracle.com/goto/openboot/docs
Implementar a Proteção de Senha
Se você ainda não tiver definido uma senha, execute esta etapa.
{0} ok password
10
Guia de Segurança dos Servidores da Série SPARC M7 • Outubro de 2015
Ativar o Modo de Segurança
New password (8 characters max):
Retype new password: password
A senha deve ter de um a oito caracteres. Se você inserir mais de oito caracteres, só os oito
primeiros serão usados. São aceitos todos os caracteres que podem ser impressos. Caracteres de
controle não são aceitos.
Observação - A definição da senha com caracteres zero desativa a segurança e trata o
parâmetro security-mode como se ele tivesse sido definido como none. No entanto, isso não
altera a configuração.
Ativar o Modo de Segurança
1.
Defina o parâmetro security-mode como full ou command.
Quando definida como full, é obrigatória uma senha para executar qualquer ação, inclusive
operações normais, como inicialização. Quando definida como command, não é solicitada
uma senha para os comandos boot ou go, mas todos os outros comandos exigem senha. Por
razões de continuidade comercial, defina o parâmetro security-mode como command, como no
exemplo a seguir.
{0} ok setenv security-mode command
{0} ok
2.
Obtenha o prompt do modo de segurança.
Depois de definir o modo de segurança como descrito acima, você poderá obter o prompt do
modo de segurança de uma destas duas maneiras.
■
Use os comandos logout e login.
{0} ok logout
Type boot , go (continue), or login (command mode)
>
> login
Firmware Password: password
Type help for more information
{0} ok
Para sair do modo de segurança, use os nomes logout e login.
■
Use o comando reset-all.
{0} ok reset-all
Este comando redefine o sistema. Quando o sistema é reativado, o OpenBoot vai para o
prompt do modo de segurança. Para entrar novamente no prompt de comando (ou fazer
Noções Básicas de Segurança de Software
11
Desativar o Modo de Segurança
logout do modo de segurança), use os nomes logout e login e insira a senha, conforme
descrito acima.
Desativar o Modo de Segurança
1.
Defina o parâmetro security-mode como none.
{0} ok setenv security-mode none
2.
Defina a senha como comprimento zero digitando Return depois dos dois
prompts de senha.
Verificar Falhas de Login (OBP)
1.
Determine se alguém tentou e não conseguiu acessar o ambiente do OpenBoot
usando o parâmetro security-#badlogins, como no exemplo a seguir.
ok printenv security-#badlogins
Se esse comando retornar um valor maior que Ø, isso indica que foi registrada uma falha na
tentativa de acessar o ambiente do OpenBoot.
2.
Redefina o parâmetro digitando:
ok setenv security-#badlogins 0
Fornecer um Power-On Banner
Embora este não seja um controle direto de prevenção ou detecção, um banner pode ser usado
para esses motivos:
■
■
■
Informar propriedade.
Avisar os usuários sobre o uso aceitável do servidor.
Indicar que o acesso ou modificações aos parâmetros do OpenBoot é restrito ao pessoal
autorizado.
Use os comandos a seguir para ativar uma mensagem de advertência
personalizada.
{0} ok setenv oem-banner banner-message
{0} ok setenv oem-banner? true
12
Guia de Segurança dos Servidores da Série SPARC M7 • Outubro de 2015
Oracle System Firmware
A mensagem do banner pode ter até 68 caracteres. São aceitos todos os caracteres que podem
ser impressos.
Oracle System Firmware
O Oracle System Firmware usa um processo de atualização do firmware controlado para
impedir modificações não autorizadas no firmware. Somente o superusuário ou um usuário
autenticado com a devida autorização pode usar o processo de atualização.
Para obter mais informações sobre como obter acesso às atualizações ou aos patches mais
recentes, consulte as notas do produto dos servidores da série SPARC M7 da Oracle.
Inicialização WAN Segura
A inicialização WAN suporta diversos níveis de segurança. É possível utilizar uma combinação
de recursos de segurança que são suportados na inicialização WAN para atender às necessidades
da rede. Uma configuração mais segura requer mais administração, mas também protege os
dados de sistema para uma maior amplitude.
■
■
Para o SO Oracle Solaris 10, consulte as informações sobre como proteger a configuração
de instalação de inicialização WAN no manual Oracle Solaris Installation Guide: NetworkBased Installations.
Consulte http://www.oracle.com/goto/Solaris10/docs
Para o SO Oracle Solaris 11, consulte Securing the Network in Oracle Solaris.
Consulte http://www.oracle.com/goto/Solaris11/docs
Noções Básicas de Segurança de Software
13
14
Guia de Segurança dos Servidores da Série SPARC M7 • Outubro de 2015