SAP Security - แพลตฟอร์ม Unix
คุณจำเป็นต้องใช้มาตรการรักษาความปลอดภัยต่างๆในขณะที่ใช้คุณสมบัติ Unix ไฟล์หรือบริการบางอย่างการป้องกันไฟล์รหัสผ่านและการปิดใช้งาน BSD Remote Services สำหรับ rlogin และ remsh.
การป้องกันรหัสผ่าน
ในแพลตฟอร์ม Unix ผู้โจมตีสามารถใช้โปรแกรมโจมตีพจนานุกรมเพื่อค้นหาข้อมูลรหัสผ่านที่เก็บไว้ใน Unix OS คุณสามารถจัดเก็บรหัสผ่านในไฟล์รหัสผ่านเงาและมีเพียงผู้ใช้รูทเท่านั้นที่สามารถเข้าถึงไฟล์นี้เพื่อปรับปรุงความปลอดภัยในระบบ
การปิดใช้งานบริการระยะไกล
บริการ BSD Remote ช่วยให้สามารถเข้าถึงระบบ Unix จากระยะไกลได้ เมื่อเริ่มการเชื่อมต่อระยะไกล/etc/host.equiv และ $HOME/.rhosts ถูกใช้และในกรณีที่ไฟล์เหล่านี้มีข้อมูลเกี่ยวกับชื่อโฮสต์และที่อยู่ IP ของแหล่งการเชื่อมต่อหรืออักขระตัวแทนใด ๆ ไม่จำเป็นต้องป้อนรหัสผ่านขณะเข้าสู่ระบบ
บริการระยะไกล rlogin และ remsh เป็นภัยคุกคามด้านความปลอดภัยในสถานการณ์นี้และคุณจำเป็นต้องปิดใช้งานบริการเหล่านี้ คุณสามารถปิดใช้งานบริการเหล่านี้ได้โดยไปที่inetd.conf ไฟล์ในระบบ Unix
ในระบบ Unix rlogin เป็นไคลเอนต์เชลล์ระยะไกล (เช่น SSH) ซึ่งออกแบบมาให้เร็วและมีขนาดเล็ก ไม่ได้เข้ารหัสซึ่งอาจมีข้อบกพร่องเล็กน้อยในสภาพแวดล้อมที่มีความปลอดภัยสูง แต่สามารถทำงานด้วยความเร็วสูงมาก ทั้งเซิร์ฟเวอร์และไคลเอนต์ไม่ได้ใช้หน่วยความจำมาก
การรักษาความปลอดภัยระบบไฟล์เครือข่ายใน UNIX
ในแพลตฟอร์ม UNIX ระบบไฟล์เครือข่ายจะใช้เพื่อเข้าถึงการขนส่งและไดเร็กทอรีงานผ่านเครือข่ายจากระบบ SAP ในการเข้าถึงไดเร็กทอรีงานกระบวนการรับรองความถูกต้องเกี่ยวข้องกับที่อยู่เครือข่าย เป็นไปได้ว่าผู้โจมตีสามารถเข้าถึงโดยไม่ได้รับอนุญาตผ่านระบบไฟล์เครือข่ายโดยใช้การปลอมแปลง IP
เพื่อให้ระบบมีความปลอดภัยคุณไม่ควรแจกจ่ายโฮมไดเร็กทอรีผ่าน Network File System และควรกำหนดสิทธิ์การเขียนให้กับไดเร็กทอรีเหล่านี้อย่างรอบคอบ
SAP System Directory Access สำหรับ SAP System ใน UNIX
คุณควรตั้งค่าสิทธิ์การเข้าถึงต่อไปนี้สำหรับ SAP System Directories ใน UNIX -
| SAP Directory | สิทธิ์การเข้าถึงแบบฟอร์ม Octal | เจ้าของ | กลุ่ม |
|---|---|---|---|
| / sapmnt / <SID> / exe | 775 | <sid> แอดมิน | sapsys |
| / sapmnt / <SID> / exe / saposcol | 4755 | ราก | sapsys |
| / sapmnt / <SID> / global | 700 | <sid> แอดมิน | sapsys |
| / sapmnt / <SID> / profile | 755 | <sid> แอดมิน | sapsys |
| / usr / sap / <SID> | 751 | <sid> แอดมิน | sapsys |
| / usr / sap / <SID> / <Instance ID> | 755 | <sid> แอดมิน | sapsys |
| / usr / sap / <SID> / <Instance ID> / * | 750 | <sid> แอดมิน | sapsys |
| / usr / sap / <SID> / <Instance ID> / วินาที | 700 | <sid> แอดมิน | sapsys |
| / usr / sap / <SID> / SYS | 755 | <sid> แอดมิน | sapsys |
| / usr / sap / <SID> / SYS / * | 755 | <sid> แอดมิน | sapsys |
| / usr / sap / trans | 775 | <sid> แอดมิน | sapsys |
| / usr / sap / ทรานส์ / * | 770 | <sid> แอดมิน | sapsys |
| /usr/sap/trans/.sapconf | 775 | <sid> แอดมิน | sapsys |
| <โฮมไดเร็กทอรีของ <sid> adm> | 700 | <sid> แอดมิน | sapsys |
| <โฮมไดเร็กทอรีของ <sid> adm> / * | 700 | <sid> แอดมิน | sapsys |