Bảo mật SAP - Nền tảng Unix
Bạn cần thực hiện các biện pháp bảo mật khác nhau khi sử dụng Thuộc tính, Tệp hoặc Dịch vụ Unix nhất định, Bảo vệ Tệp Mật khẩu và Hủy kích hoạt Dịch vụ Từ xa BSD cho rlogin và remsh.
Mật khẩu bảo vệ
Trong nền tảng Unix, kẻ tấn công có thể sử dụng chương trình tấn công từ điển để khám phá thông tin mật khẩu được lưu trữ trong Hệ điều hành Unix. Bạn có thể lưu trữ mật khẩu trong một tệp mật khẩu ẩn và chỉ người dùng root mới có quyền truy cập vào tệp này để cải thiện tính bảo mật trong hệ thống.
Hủy kích hoạt các dịch vụ từ xa
Các dịch vụ BSD Remote cho phép truy cập từ xa vào hệ thống Unix. Khi một kết nối từ xa được bắt đầu/etc/host.equiv và $HOME/.rhosts được sử dụng và trong trường hợp các tệp này chứa thông tin về tên máy chủ và địa chỉ IP của nguồn kết nối hoặc bất kỳ ký tự đại diện nào thì không cần nhập mật khẩu khi đăng nhập.
Các dịch vụ từ xa rlogin và remsh là mối đe dọa bảo mật trong trường hợp này và bạn cần phải hủy kích hoạt các dịch vụ này. Bạn có thể hủy kích hoạt các dịch vụ này bằng cách truy cậpinetd.conf trong hệ thống Unix.
Trong hệ thống Unix, rlogin là một trình khách shell từ xa (như SSH), được thiết kế để nhanh và nhỏ. Nó không được mã hóa, có thể có một số nhược điểm nhỏ trong môi trường bảo mật cao, nhưng nó có thể hoạt động ở tốc độ rất cao. Cả máy chủ và máy khách đều không sử dụng nhiều bộ nhớ.
Bảo mật Hệ thống Tệp Mạng trong UNIX
Trong nền tảng UNIX, Hệ thống Tệp Mạng được sử dụng để truy cập các thư mục truyền tải và công việc qua mạng từ hệ thống SAP. Để truy cập thư mục công việc, quá trình xác thực liên quan đến địa chỉ mạng. Những kẻ tấn công có thể có được quyền truy cập trái phép vào Hệ thống tệp mạng bằng cách sử dụng giả mạo IP.
Để đảm bảo an toàn cho hệ thống, bạn không nên phân phối thư mục chính qua Hệ thống Tệp Mạng và việc cấp quyền ghi cho các thư mục này phải được chỉ định cẩn thận.
Quyền truy cập thư mục hệ thống SAP cho Hệ thống SAP trong UNIX
Bạn nên đặt các quyền truy cập sau cho Thư mục Hệ thống SAP trong UNIX -
Thư mục SAP | Đặc quyền truy cập dạng bát phân | Chủ nhân | Nhóm |
---|---|---|---|
/ sapmnt / <SID> / exe | 775 | <sid> adm | sapsys |
/ sapmnt / <SID> / exe / saposcol | 4755 | nguồn gốc | sapsys |
/ sapmnt / <SID> / global | 700 | <sid> adm | sapsys |
/ sapmnt / <SID> / hồ sơ | 755 | <sid> adm | sapsys |
/ usr / sap / <SID> | 751 | <sid> adm | sapsys |
/ usr / sap / <SID> / <ID phiên bản> | 755 | <sid> adm | sapsys |
/ usr / sap / <SID> / <Instance ID> / * | 750 | <sid> adm | sapsys |
/ usr / sap / <SID> / <Instance ID> / giây | 700 | <sid> adm | sapsys |
/ usr / sap / <SID> / SYS | 755 | <sid> adm | sapsys |
/ usr / sap / <SID> / SYS / * | 755 | <sid> adm | sapsys |
/ usr / sap / trans | 775 | <sid> adm | sapsys |
/ usr / sap / trans / * | 770 | <sid> adm | sapsys |
/usr/sap/trans/.sapconf | 775 | <sid> adm | sapsys |
<thư mục chính của <sid> adm> | 700 | <sid> adm | sapsys |
<thư mục chính của <sid> adm> / * | 700 | <sid> adm | sapsys |