Sicurezza SAP - Piattaforma Unix
È necessario adottare varie misure di sicurezza durante l'utilizzo di determinate proprietà, file o servizi Unix, protezione dei file delle password e disattivazione dei servizi remoti BSD per rlogin e remsh.
Protezione della password
In una piattaforma Unix, un utente malintenzionato può utilizzare il programma di attacco del dizionario per scoprire le informazioni sulla password memorizzate nel sistema operativo Unix. È possibile memorizzare le password in un file di password shadow e solo un utente root può avere accesso a questo file per migliorare la sicurezza in un sistema.
Disattivazione dei servizi remoti
I servizi BSD Remote consentono l'accesso remoto ai sistemi Unix. Quando viene avviata una connessione remota/etc/host.equiv e $HOME/.rhosts vengono utilizzati e nel caso in cui questi file contengano informazioni sul nome host e l'indirizzo IP della sorgente di connessione o qualsiasi carattere jolly, non è necessario inserire la password durante l'accesso.
I servizi remoti rlogin e remsh sono una minaccia alla sicurezza in questo scenario ed è necessario disattivare questi servizi. Puoi disattivare questi servizi andando suinetd.conf file nel sistema Unix.
In un sistema Unix, rlogin è un client shell remoto (come SSH), progettato per essere veloce e piccolo. Non è crittografato, il che può presentare alcuni piccoli inconvenienti in ambienti ad alta sicurezza, ma può funzionare a velocità molto elevate. Sia il server che il client non utilizzano molta memoria.
Protezione del file system di rete in UNIX
In una piattaforma UNIX, viene utilizzato un file system di rete per accedere alle directory di trasporto e di lavoro sulla rete da un sistema SAP. Per accedere alle directory di lavoro, il processo di autenticazione coinvolge gli indirizzi di rete. È possibile che gli aggressori possano ottenere l'accesso non autorizzato tramite il Network File System utilizzando lo spoofing IP.
Per rendere il sistema sicuro, non si dovrebbe distribuire la directory home sul Network File System e l'autorizzazione di scrittura a queste directory dovrebbe essere assegnata con attenzione.
Accesso alla directory del sistema SAP per il sistema SAP in UNIX
È necessario impostare i seguenti diritti di accesso per le directory di sistema SAP in UNIX:
| Directory SAP | Privilegio di accesso al modulo ottale | Proprietario | Gruppo |
|---|---|---|---|
| / sapmnt / <SID> / exe | 775 | <sid> adm | sapsys |
| / sapmnt / <SID> / exe / saposcol | 4755 | radice | sapsys |
| / sapmnt / <SID> / global | 700 | <sid> adm | sapsys |
| / sapmnt / <SID> / profile | 755 | <sid> adm | sapsys |
| / usr / sap / <SID> | 751 | <sid> adm | sapsys |
| / usr / sap / <SID> / <ID istanza> | 755 | <sid> adm | sapsys |
| / usr / sap / <SID> / <ID istanza> / * | 750 | <sid> adm | sapsys |
| / usr / sap / <SID> / <ID istanza> / sec | 700 | <sid> adm | sapsys |
| / usr / sap / <SID> / SYS | 755 | <sid> adm | sapsys |
| / usr / sap / <SID> / SYS / * | 755 | <sid> adm | sapsys |
| / usr / sap / trans | 775 | <sid> adm | sapsys |
| / usr / sap / trans / * | 770 | <sid> adm | sapsys |
| /usr/sap/trans/.sapconf | 775 | <sid> adm | sapsys |
| <home directory di <sid> adm> | 700 | <sid> adm | sapsys |
| <home directory di <sid> adm> / * | 700 | <sid> adm | sapsys |