Безопасность SAP - Платформа Unix
Вам необходимо принять различные меры безопасности при использовании определенных свойств, файлов или служб Unix, защиты файлов паролей и деактивации удаленных служб BSD для rlogin и remsh.
Защита паролем
На платформе Unix злоумышленник может использовать программу атаки по словарю для обнаружения информации о пароле, хранящейся в ОС Unix. Вы можете хранить пароли в файле теневых паролей, и только пользователь root может иметь доступ к этому файлу для повышения безопасности в системе.
Деактивация удаленных служб
Службы BSD Remote обеспечивают удаленный доступ к системам Unix. Когда инициируется удаленное соединение/etc/host.equiv и $HOME/.rhosts используются, и в случае, если эти файлы содержат информацию об имени хоста и IP-адресе источника подключения или какие-либо символы подстановки, нет необходимости вводить пароль при входе в систему.
Удаленные службы rlogin и remsh представляют собой угрозу безопасности в этом сценарии, и вам необходимо деактивировать эти службы. Вы можете отключить эти службы, перейдя вinetd.conf файл в системе Unix.
В системе Unix rlogin - это клиент удаленной оболочки (например, SSH), который разработан, чтобы быть быстрым и небольшим. Он не зашифрован, что может иметь некоторые небольшие недостатки в средах с высоким уровнем безопасности, но он может работать на очень высоких скоростях. И сервер, и клиент не используют много памяти.
Защита сетевой файловой системы в UNIX
На платформе UNIX сетевая файловая система используется для доступа к транспортным и рабочим каталогам по сети из системы SAP. Для доступа к рабочим каталогам в процессе аутентификации используются сетевые адреса. Возможно, злоумышленники могут получить несанкционированный доступ через сетевую файловую систему с помощью IP-спуфинга.
Чтобы сделать систему безопасной, вам не следует распространять домашний каталог по сетевой файловой системе, а права на запись в эти каталоги должны быть тщательно назначены.
Доступ к каталогу системы SAP для системы SAP в UNIX
Вы должны установить следующие права доступа для системных каталогов SAP в UNIX:
| Каталог SAP | Восьмеричная форма Права доступа | Владелец | Группа |
|---|---|---|---|
| / sapmnt / <SID> / exe | 775 | <sid> ADM | sapsys |
| / sapmnt / <SID> / exe / saposcol | 4755 | корень | sapsys |
| / sapmnt / <SID> / глобальный | 700 | <sid> ADM | sapsys |
| / sapmnt / <SID> / профиль | 755 | <sid> ADM | sapsys |
| / usr / sap / <SID> | 751 | <sid> ADM | sapsys |
| / usr / sap / <SID> / <ID экземпляра> | 755 | <sid> ADM | sapsys |
| / usr / sap / <SID> / <ID экземпляра> / * | 750 | <sid> ADM | sapsys |
| / usr / sap / <SID> / <Instance ID> / сек | 700 | <sid> ADM | sapsys |
| / usr / sap / <SID> / SYS | 755 | <sid> ADM | sapsys |
| / usr / sap / <SID> / SYS / * | 755 | <sid> ADM | sapsys |
| / usr / sap / транс | 775 | <sid> ADM | sapsys |
| / usr / sap / trans / * | 770 | <sid> ADM | sapsys |
| /usr/sap/trans/.sapconf | 775 | <sid> ADM | sapsys |
| <домашний каталог <sid> adm> | 700 | <sid> ADM | sapsys |
| <домашний каталог <sid> adm> / * | 700 | <sid> ADM | sapsys |