- SAP安全教程
- SAP安全 - 首頁
- SAP安全 - 概述
- 使用者認證與管理
- 網路通訊安全
- 保護標準使用者
- 未授權登入保護
- 系統授權概念
- SAP安全 - Unix平臺
- SAP安全 - Windows平臺
- SAP安全 - 資料庫
- 使用者認證與單點登入
- SAP安全 - 登入票據
- SAP安全有用資源
- SAP安全 - 快速指南
- SAP安全 - 有用資源
- SAP安全 - 討論
SAP安全 - Unix平臺
使用某些Unix屬性、檔案或服務時,需要採取各種安全措施,例如保護密碼檔案和停用rlogin和remsh的BSD遠端服務。
密碼保護
在Unix平臺上,攻擊者可以使用字典攻擊程式來發現儲存在Unix作業系統中的密碼資訊。您可以將密碼儲存在影子密碼檔案中,只有root使用者才能訪問此檔案,以提高系統的安全性。
停用遠端服務
BSD遠端服務允許遠端訪問Unix系統。當啟動遠端連線時,會使用/etc/host.equiv和$HOME/.rhosts,如果這些檔案包含連線源的主機名和IP地址或任何萬用字元字元的資訊,則登入時無需輸入密碼。
在這種情況下,遠端服務rlogin和remsh構成安全威脅,您需要停用這些服務。您可以透過訪問Unix系統中的inetd.conf檔案來停用這些服務。
在Unix系統中,rlogin是一個遠端shell客戶端(類似於SSH),設計為快速且小巧。它未加密,在高安全環境中可能有一些小缺點,但它可以以非常高的速度執行。伺服器和客戶端都不會佔用大量記憶體。
保護UNIX中的網路檔案系統
在UNIX平臺上,網路檔案系統用於從SAP系統訪問網路上的傳輸和工作目錄。要訪問工作目錄,身份驗證過程涉及網路地址。攻擊者可以使用IP欺騙透過網路檔案系統獲得未授權的訪問許可權。
為了提高系統安全性,您不應透過網路檔案系統分發主目錄,並且應仔細分配對這些目錄的寫入授權。
UNIX中SAP系統的SAP系統目錄訪問許可權
您應該為UNIX中的SAP系統目錄設定以下訪問許可權:
| SAP目錄 | 八進位制形式的訪問許可權 | 所有者 | 組 |
|---|---|---|---|
| /sapmnt/ |
775 | sapsys | |
| /sapmnt/ |
4755 | root | sapsys |
| /sapmnt/ |
700 | sapsys | |
| /sapmnt/ |
755 | sapsys | |
| /usr/sap/ |
751 | sapsys | |
| /usr/sap/ |
755 | sapsys | |
| /usr/sap/ |
750 | sapsys | |
| /usr/sap/ |
700 | sapsys | |
| /usr/sap/ |
755 | sapsys | |
| /usr/sap/ |
755 | sapsys | |
| /usr/sap/trans | 775 | sapsys | |
| /usr/sap/trans/* | 770 | sapsys | |
| /usr/sap/trans/.sapconf | 775 | sapsys | |
| < |
700 | sapsys | |
| < |
700 | sapsys |
廣告