Bezpieczeństwo SAP - Platforma Unix
Musisz podjąć różne środki bezpieczeństwa podczas korzystania z niektórych właściwości, plików lub usług systemu Unix, ochrony plików haseł i dezaktywacji usług zdalnych BSD dla rlogin i remsh.
Ochrona hasła
Na platformie Unix osoba atakująca może użyć programu do ataku słownikowego w celu wykrycia informacji o hasłach przechowywanych w systemie operacyjnym Unix. Możesz przechowywać hasła w pliku haseł w tle i tylko użytkownik root może mieć dostęp do tego pliku, aby poprawić bezpieczeństwo w systemie.
Dezaktywacja usług zdalnych
Usługi zdalne BSD umożliwiają zdalny dostęp do systemów Unix. Po zainicjowaniu połączenia zdalnego/etc/host.equiv i $HOME/.rhosts są używane iw przypadku, gdy pliki te zawierają informacje o nazwie hosta i adresie IP źródła połączenia lub dowolne znaki wieloznaczne, nie ma potrzeby wpisywania hasła podczas logowania.
Zdalne usługi rlogin i remsh stanowią zagrożenie dla bezpieczeństwa w tym scenariuszu i należy dezaktywować te usługi. Możesz dezaktywować te usługi, przechodząc doinetd.conf plik w systemie Unix.
W systemie Unix rlogin jest zdalnym klientem powłoki (podobnie jak SSH), który został zaprojektowany tak, aby był szybki i mały. Nie jest szyfrowany, co może mieć pewne drobne wady w środowiskach o wysokim poziomie bezpieczeństwa, ale może działać z bardzo dużą prędkością. Zarówno serwer, jak i klient nie zajmują dużo pamięci.
Zabezpieczanie sieciowego systemu plików w systemie UNIX
Na platformie UNIX sieciowy system plików jest używany do uzyskiwania dostępu do katalogów transportowych i roboczych w sieci z systemu SAP. Aby uzyskać dostęp do katalogów roboczych, proces uwierzytelniania obejmuje adresy sieciowe. Istnieje możliwość, że osoby atakujące mogą uzyskać nieautoryzowany dostęp za pośrednictwem sieciowego systemu plików przy użyciu fałszowania adresów IP.
Aby zabezpieczyć system, nie należy dystrybuować katalogu domowego przez sieciowy system plików, a uprawnienia do zapisu w tych katalogach powinny być starannie przydzielane.
Dostęp do katalogu systemu SAP dla systemu SAP w systemie UNIX
Należy ustawić następujące prawa dostępu do katalogów systemowych SAP w systemie UNIX -
| Katalog SAP | Forma ósemkowa Uprawnienia dostępu | Właściciel | Grupa |
|---|---|---|---|
| / sapmnt / <SID> / exe | 775 | <sid> adm | sapsys |
| / sapmnt / <SID> / exe / saposcol | 4755 | korzeń | sapsys |
| / sapmnt / <SID> / global | 700 | <sid> adm | sapsys |
| / sapmnt / <SID> / profile | 755 | <sid> adm | sapsys |
| / usr / sap / <SID> | 751 | <sid> adm | sapsys |
| / usr / sap / <SID> / <identyfikator instancji> | 755 | <sid> adm | sapsys |
| / usr / sap / <SID> / <identyfikator instancji> / * | 750 | <sid> adm | sapsys |
| / usr / sap / <SID> / <Instance ID> / sec | 700 | <sid> adm | sapsys |
| / usr / sap / <SID> / SYS | 755 | <sid> adm | sapsys |
| / usr / sap / <SID> / SYS / * | 755 | <sid> adm | sapsys |
| / usr / sap / trans | 775 | <sid> adm | sapsys |
| / usr / sap / trans / * | 770 | <sid> adm | sapsys |
| /usr/sap/trans/.sapconf | 775 | <sid> adm | sapsys |
| <katalog domowy <sid> adm> | 700 | <sid> adm | sapsys |
| <katalog domowy <sid> adm> / * | 700 | <sid> adm | sapsys |