通过白名单控制联网的主机访问

SSMC 应用程序提供三种机制以控制主机访问。
主机访问控制选项是在不同级别的应用程序栈中提供的:
  1. HTTP 级别 - 使用 jetty-ipaccess.xml 配置 jetty。有关详细信息,请参阅SSMC 中的客户端 IP 筛选支持

  2. TCP 级别 - 使用标准 Linux TCP 包装器 /etc/hosts.allow、/etc/hosts.deny

  3. IP 表 - 使用安全配置文件 /ssmc/bin/config_security.sh

注意:

在配置 SSMC 以符合安全标准时,选项 1 和 2 不可用。在这种情况下,请使用选项 3。

基于 IP 表的主机访问控制机制要求您设置访问规则。这些规则是使用 /ssmc/conf/security_config.properties 文件中的以下属性配置的:

属性说明
ssmc.inbound.hosts.allow 需要入站访问且列入白名单的主机的 IPv4 地址列表(以逗号分隔)。包括将从中访问 SSMC Web 和 SSH 的所有客户端终端。该属性支持使用 CIDR (/) 和范围 (-) 符号以指定 IP 范围。
ssmc.outbound.hosts.allow 需要出站访问且列入白名单的主机的 IPv4 地址列表(以逗号分隔)。包括所有管理的阵列、DNS、SMTP、远程日志记录服务器、HPE Service Processor、HPE InfoSight 连接的 Web 代理等。该属性支持使用 CIDR (/) 和范围 (-) 符号以指定 IP 范围。
任何主机访问控制属性都不支持 FQDN 主机名。在 DHCP 环境中,包括 DHCP 服务器可以为给定主机分配的完整 IP 范围以设置白名单以及允许访问该主机。
注意:

SSMC 不支持在主机访问功能中使用 IPv6。如果启用了主机访问功能,将默认拒绝与联网的主机之间的所有出站和入站通信,并仅在例外情况(白名单)下允许此类通信。换句话说,您必须主动在 ssmc.outbound.hosts.allowssmc.inbound.hosts.allow 属性中创建一个主机条目,以允许对主机进行出站和入站访问。

重要信息: 如果要使用 FQDN 添加存储阵列以进行管理(通过 Administrator Console Web GUI),请确保将 DNS 服务器和阵列 IP 地址列入白名单以从 SSMC 进行出站访问。

启用或禁用主机访问

要设置规则并启用主机访问,请执行以下命令:

sudo /ssmc/bin/config_security.sh -o host_access -a set -f

要重置规则并禁用主机访问,请执行以下命令:

sudo /ssmc/bin/config_security.sh -o host_access -a reset -f

示例 1

启用了主机访问,并在入站白名单中设置了 192.168.11.2。仅指定的主机能够通过 SSH 或 Web 端口访问 SSMC 设备。在这种情况下,无法建立阵列连接或进行 DNS 解析。

  • 允许来自所有联网的主机的入站访问。

  • 出站访问仅限于所有主机。

ssmc.inbound.hosts.allow=192.168.11.2
ssmc.outbound.hosts.allow=
示例 2

该规则允许所有联网的主机从 192.168.11.1/24 和 192.168.10.1 -192.168.10.10 范围以及 192.168.10.25 主机访问 SSMC。SSMC 只能与 192.168.12.1-192.168.12.5范围内的联网主机建立出站连接。

ssmc.inbound.hosts.allow=192.168.11.1/24,192.168.10.1-
192.168.10.10,192.168.10.25
ssmc.outbound.hosts.allow=192.168.12.1-192.168.12.5