SAP 安全 - Unix 平台
在使用某些 Unix 属性、文件或服务、保护密码文件以及停用rlogin和remsh的 BSD 远程服务时,您需要采取各种安全措施。
密码保护
在Unix平台中,攻击者可以使用字典攻击程序来发现Unix操作系统中存储的密码信息。您可以将密码存储在影子密码文件中,并且只有 root 用户可以访问该文件,以提高系统的安全性。
停用远程服务
BSD 远程服务允许远程访问 Unix 系统。启动远程连接时,使用/etc/host.equiv和$HOME/.rhosts,如果这些文件包含有关连接源的主机名和 IP 地址或任何通配符的信息,则无需输入密码登录时。
在这种情况下,远程服务 rlogin 和 remsh 是安全威胁,您需要停用这些服务。您可以通过转到Unix 系统中的inetd.conf文件来停用这些服务。
在 Unix 系统中,rlogin 是一个远程 shell 客户端(如 SSH),其设计速度快且体积小。它没有加密,这在高安全性环境中可能有一些小缺点,但它可以以非常高的速度运行。服务器和客户端都不会使用大量内存。
保护 UNIX 中的网络文件系统
在 UNIX 平台中,网络文件系统用于通过网络从 SAP 系统访问传输和工作目录。要访问工作目录,身份验证过程涉及网络地址。攻击者有可能使用 IP 欺骗通过网络文件系统获得未经授权的访问。
为了确保系统安全,您不应将主目录分布在网络文件系统上,并且应仔细分配对这些目录的写入权限。
UNIX 中 SAP 系统的 SAP 系统目录访问
您应该为 UNIX 中的 SAP 系统目录设置以下访问权限 -
| SAP目录 | 八进制形式访问权限 | 所有者 | 团体 |
|---|---|---|---|
| /sapmnt/<SID>/exe | 第775章 | <sid>管理员 | 萨普西斯 |
| /sapmnt/<SID>/exe/saposcol | 4755 | 根 | 萨普西斯 |
| /sapmnt/<SID>/global | 700 | <sid>管理员 | 萨普西斯 |
| /sapmnt/<SID>/profile | 第755章 | <sid>管理员 | 萨普西斯 |
| /usr/sap/<SID> | 第751章 | <sid>管理员 | 萨普西斯 |
| /usr/sap/<SID>/<实例 ID> | 第755章 | <sid>管理员 | 萨普西斯 |
| /usr/sap/<SID>/<实例 ID>/* | 750 | <sid>管理员 | 萨普西斯 |
| /usr/sap/<SID>/<实例 ID>/sec | 700 | <sid>管理员 | 萨普西斯 |
| /usr/sap/<SID>/SYS | 第755章 | <sid>管理员 | 萨普西斯 |
| /usr/sap/<SID>/SYS/* | 第755章 | <sid>管理员 | 萨普西斯 |
| /usr/sap/trans | 第775章 | <sid>管理员 | 萨普西斯 |
| /usr/sap/trans/* | 第770章 | <sid>管理员 | 萨普西斯 |
| /usr/sap/trans/.sapconf | 第775章 | <sid>管理员 | 萨普西斯 |
| <<sid>adm> 的主目录 | 700 | <sid>管理员 | 萨普西斯 |
| <<sid>adm>的主目录/* | 700 | <sid>管理员 | 萨普西斯 |