Segurança SAP - Plataforma Unix
Você precisa tomar várias medidas de segurança ao usar certas propriedades, arquivos ou serviços Unix, proteger arquivos de senha e desativar serviços remotos BSD para rlogin e remsh.
Proteção de senha
Em uma plataforma Unix, um invasor pode usar o programa de ataque de dicionário para descobrir informações de senha armazenadas no sistema operacional Unix. Você pode armazenar as senhas em um arquivo de senha de sombra e apenas um usuário root pode ter acesso a esse arquivo para melhorar a segurança em um sistema.
Desativando Serviços Remotos
Os serviços BSD Remote permitem acesso remoto a sistemas Unix. Quando uma conexão remota é iniciada/etc/host.equiv e $HOME/.rhosts são usados e, no caso de esses arquivos conterem informações sobre o nome do host e o endereço IP da fonte de conexão ou quaisquer caracteres curinga, não há necessidade de inserir a senha ao efetuar login.
Os serviços remotos rlogin e remsh são uma ameaça à segurança neste cenário e você precisa desativar esses serviços. Você pode desativar esses serviços acessandoinetd.conf arquivo no sistema Unix.
Em um sistema Unix, o rlogin é um cliente shell remoto (como SSH), que é projetado para ser rápido e pequeno. Não é criptografado, o que pode ter algumas pequenas desvantagens em ambientes de alta segurança, mas pode operar em velocidades muito altas. O servidor e o cliente não usam muita memória.
Protegendo o sistema de arquivos de rede no UNIX
Em uma plataforma UNIX, um Network File System é usado para acessar os diretórios de transporte e trabalho na rede a partir de um sistema SAP. Para acessar diretórios de trabalho, o processo de autenticação envolve endereços de rede. É possível que o acesso não autorizado seja obtido por invasores no Network File System usando IP spoofing.
Para tornar o sistema seguro, você não deve distribuir o diretório inicial pelo Network File System e a autorização de gravação para esses diretórios deve ser cuidadosamente atribuída.
Acesso ao diretório do sistema SAP para sistema SAP no UNIX
Você deve definir os seguintes direitos de acesso para SAP System Directories no UNIX -
| SAP Directory | Octal form Access Privilege | Proprietário | Grupo |
|---|---|---|---|
| / sapmnt / <SID> / exe | 775 | <sid> adm | sapsys |
| / sapmnt / <SID> / exe / saposcol | 4755 | raiz | sapsys |
| / sapmnt / <SID> / global | 700 | <sid> adm | sapsys |
| / sapmnt / <SID> / profile | 755 | <sid> adm | sapsys |
| / usr / sap / <SID> | 751 | <sid> adm | sapsys |
| / usr / sap / <SID> / <Instance ID> | 755 | <sid> adm | sapsys |
| / usr / sap / <SID> / <Instance ID> / * | 750 | <sid> adm | sapsys |
| / usr / sap / <SID> / <Instance ID> / s | 700 | <sid> adm | sapsys |
| / usr / sap / <SID> / SYS | 755 | <sid> adm | sapsys |
| / usr / sap / <SID> / SYS / * | 755 | <sid> adm | sapsys |
| / usr / sap / trans | 775 | <sid> adm | sapsys |
| / usr / sap / trans / * | 770 | <sid> adm | sapsys |
| /usr/sap/trans/.sapconf | 775 | <sid> adm | sapsys |
| <diretório inicial de <sid> adm> | 700 | <sid> adm | sapsys |
| <diretório inicial de <sid> adm> / * | 700 | <sid> adm | sapsys |