Sap-security-unix-platform
SAPセキュリティ-Unixプラットフォーム
特定のUnixプロパティ、ファイルまたはサービスの使用、パスワードファイルの保護、 rlogin および remsh のBSDリモートサービスの非アクティブ化中に、さまざまなセキュリティ対策を講じる必要があります。
パスワード保護
Unixプラットフォームでは、攻撃者は辞書攻撃プログラムを使用して、Unix OSに保存されているパスワード情報を発見できます。 パスワードをシャドウパスワードファイルに保存できます。システムのセキュリティを向上させるために、rootユーザーのみがこのファイルにアクセスできます。
リモートサービスの無効化
BSD Remoteサービスを使用すると、Unixシステムにリモートアクセスできます。 リモート接続が開始されるとき /etc/host.equiv および $ HOME/.rhosts が使用され、これらのファイルに接続ソースのホスト名とIPアドレスまたはワイルドカード文字に関する情報が含まれる場合、必要はありません。ログイン中にパスワードを入力します。
このシナリオでは、リモートサービスのrloginとremshはセキュリティ上の脅威であり、これらのサービスを非アクティブ化する必要があります。 これらのサービスを無効にするには、Unixシステムの inetd.conf ファイルに移動します。
Unixシステムでは、rloginはリモートシェルクライアント(SSHなど)であり、高速で小さく設計されています。 暗号化されていないため、高度なセキュリティ環境では多少の欠点がありますが、非常に高速に動作できます。 サーバーとクライアントの両方が大量のメモリを使用しません。
UNIXでのネットワークファイルシステムの保護
UNIXプラットフォームでは、ネットワークファイルシステムを使用して、SAPシステムからネットワーク経由でトランスポートディレクトリと作業ディレクトリにアクセスします。 作業ディレクトリにアクセスするには、認証プロセスにネットワークアドレスが含まれます。 IPスプーフィングを使用して、ネットワークファイルシステムを介して攻撃者が不正アクセスを取得する可能性があります。
システムをセキュリティで保護するには、ネットワークファイルシステムを介してホームディレクトリを配布しないでください。これらのディレクトリへの書き込み権限は慎重に割り当ててください。
UNIXのSAPシステムのSAPシステムディレクトリアクセス
UNIXのSAPシステムディレクトリに次のアクセス権を設定する必要があります-
| SAP Directory | Octal form Access Privilege | Owner | Group |
|---|---|---|---|
| /sapmnt/<SID>/exe | 775 | <sid>adm | sapsys |
| /sapmnt/<SID>/exe/saposcol | 4755 | root | sapsys |
| /sapmnt/<SID>/global | 700 | <sid>adm | sapsys |
| /sapmnt/<SID>/profile | 755 | <sid>adm | sapsys |
| /usr/sap/<SID> | 751 | <sid>adm | sapsys |
| /usr/sap/<SID>/<Instance ID> | 755 | <sid>adm | sapsys |
| /usr/sap/<SID>/<Instance ID>/* | 750 | <sid>adm | sapsys |
| /usr/sap/<SID>/<Instance ID>/sec | 700 | <sid>adm | sapsys |
| /usr/sap/<SID>/SYS | 755 | <sid>adm | sapsys |
| /usr/sap/<SID>/SYS/* | 755 | <sid>adm | sapsys |
| /usr/sap/trans | 775 | <sid>adm | sapsys |
| /usr/sap/trans/* | 770 | <sid>adm | sapsys |
| /usr/sap/trans/.sapconf | 775 | <sid>adm | sapsys |
| <home directory of <sid>adm> | 700 | <sid>adm | sapsys |
| <home directory of <sid>adm>/* | 700 | <sid>adm | sapsys |
