SAP Güvenliği - Unix Platformu
Belirli Unix Özelliklerini, Dosyalarını veya Hizmetlerini kullanırken, Parola Dosyalarını Korurken ve BSD Uzaktan Hizmetlerini Devre Dışı Bırakırken çeşitli güvenlik önlemleri almanız gerekir. rlogin ve remsh.
Şifre Koruması
Bir Unix platformunda, bir saldırgan Unix OS'de depolanan parola bilgilerini keşfetmek için sözlük saldırı programını kullanabilir. Parolaları bir gölge parola dosyasında saklayabilirsiniz ve bir sistemdeki güvenliği artırmak için bu dosyaya yalnızca bir kök kullanıcı erişebilir.
Uzaktan Hizmetleri Devre Dışı Bırakma
BSD Remote hizmetleri, Unix sistemlerine uzaktan erişim sağlar. Uzak bir bağlantı başlatıldığında/etc/host.equiv ve $HOME/.rhosts kullanılır ve bu dosyaların bağlantı kaynağının ana bilgisayar adı ve IP adresi veya herhangi bir joker karakter hakkında bilgi içermesi durumunda, oturum açarken şifre girmeye gerek yoktur.
Uzak hizmetler rlogin ve remsh, bu senaryoda güvenlik tehdididir ve bu hizmetleri devre dışı bırakmanız gerekir. Bu hizmetleri şu adrese giderek devre dışı bırakabilirsiniz:inetd.conf Unix sistemindeki dosya.
Bir Unix sisteminde rlogin, hızlı ve küçük olacak şekilde tasarlanmış bir uzak kabuk istemcisidir (SSH gibi). Yüksek güvenlikli ortamlarda bazı küçük dezavantajları olabilen şifreli değildir, ancak çok yüksek hızlarda çalışabilir. Hem sunucu hem de istemci çok fazla bellek kullanmaz.
UNIX'te Ağ Dosya Sisteminin Güvenliğini Sağlama
Bir UNIX platformunda, bir SAP sisteminden ağ üzerinden taşıma ve iş dizinlerine erişmek için bir Ağ Dosya Sistemi kullanılır. Çalışma dizinlerine erişmek için, kimlik doğrulama işlemi ağ adreslerini içerir. IP sahtekarlığı kullanılarak Ağ Dosya Sistemi üzerinden saldırganlar tarafından yetkisiz erişim elde edilebilmesi mümkündür.
Sistemi güvenli kılmak için, ana dizini Ağ Dosya Sistemi üzerinden dağıtmamalısınız ve bu dizinlere yazma yetkisi dikkatlice atanmalıdır.
UNIX'te SAP Sistemi için SAP Sistem Dizini Erişimi
UNIX'te SAP Sistem Dizinleri için aşağıdaki erişim haklarını ayarlamalısınız -
SAP Dizini | Sekizli form Erişim Ayrıcalığı | Sahip | Grup |
---|---|---|---|
/ sapmnt / <SID> / exe | 775 | <sid> adm | Sapsys |
/ sapmnt / <SID> / exe / saposcol | 4755 | kök | Sapsys |
/ sapmnt / <SID> / global | 700 | <sid> adm | Sapsys |
/ sapmnt / <SID> / profil | 755 | <sid> adm | Sapsys |
/ usr / sap / <SID> | 751 | <sid> adm | Sapsys |
/ usr / sap / <SID> / <Örnek Kimliği> | 755 | <sid> adm | Sapsys |
/ usr / sap / <SID> / <Örnek Kimliği> / * | 750 | <sid> adm | Sapsys |
/ usr / sap / <SID> / <Örnek Kimliği> / sn | 700 | <sid> adm | Sapsys |
/ usr / sap / <SID> / SYS | 755 | <sid> adm | Sapsys |
/ usr / sap / <SID> / SYS / * | 755 | <sid> adm | Sapsys |
/ usr / sap / trans | 775 | <sid> adm | Sapsys |
/ usr / sap / trans / * | 770 | <sid> adm | Sapsys |
/usr/sap/trans/.sapconf | 775 | <sid> adm | Sapsys |
<<sid> adm ana dizini> | 700 | <sid> adm | Sapsys |
<<sid> adm> ana dizini / * | 700 | <sid> adm | Sapsys |