StorageTek Automated Cartridge System Library Software - 安全指南

StorageTek Automated Cartridge System Library Software 安 全 指 南 发 行 版 8.4 E68252-01 2015 年 9 月

StorageTek Automated Cartridge System Library Software 安 全 指 南 E68252-01 版 权 所 有 2015, Oracle 和 / 或 其 附 属 公 司 保 留 所 有 权 利 本 软 件 和 相 关 文 档 是 根 据 许 可 证 协 议 提 供 的, 该 许 可 证 协 议 中 规 定 了 关 于 使 用 和 公 开 本 软 件 和 相 关 文 档 的 各 种 限 制, 并 受 知 识 产 权 法 的 保 护 除 非 在 许 可 证 协 议 中 明 确 许 可 或 适 用 法 律 明 确 授 权, 否 则 不 得 以 任 何 形 式 任 何 方 式 使 用 拷 贝 复 制 翻 译 广 播 修 改 授 权 传 播 分 发 展 示 执 行 发 布 或 显 示 本 软 件 和 相 关 文 档 的 任 何 部 分 除 非 法 律 要 求 实 现 互 操 作, 否 则 严 禁 对 本 软 件 进 行 逆 向 工 程 设 计 反 汇 编 或 反 编 译 此 文 档 所 含 信 息 可 能 随 时 被 修 改, 恕 不 另 行 通 知, 我 们 不 保 证 该 信 息 没 有 错 误 如 果 贵 方 发 现 任 何 问 题, 请 书 面 通 知 我 们 如 果 将 本 软 件 或 相 关 文 档 交 付 给 美 国 政 府, 或 者 交 付 给 以 美 国 政 府 名 义 获 得 许 可 证 的 任 何 机 构, 则 适 用 以 下 注 意 事 项 : U.S. GOVERNMENT END USERS: Oracle programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, delivered to U.S. Government end users are "commercial computer software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, use, duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, shall be subject to license terms and license restrictions applicable to the programs. No other rights are granted to the U.S. Government. 本 软 件 或 硬 件 是 为 了 在 各 种 信 息 管 理 应 用 领 域 内 的 一 般 使 用 而 开 发 的 它 不 应 被 应 用 于 任 何 存 在 危 险 或 潜 在 危 险 的 应 用 领 域, 也 不 是 为 此 而 开 发 的, 其 中 包 括 可 能 会 产 生 人 身 伤 害 的 应 用 领 域 如 果 在 危 险 应 用 领 域 内 使 用 本 软 件 或 硬 件, 贵 方 应 负 责 采 取 所 有 适 当 的 防 范 措 施, 包 括 备 份 冗 余 和 其 它 确 保 安 全 使 用 本 软 件 或 硬 件 的 措 施 对 于 因 在 危 险 应 用 领 域 内 使 用 本 软 件 或 硬 件 所 造 成 的 一 切 损 失 或 损 害,Oracle Corporation 及 其 附 属 公 司 概 不 负 责 Oracle 和 Java 是 Oracle 和 / 或 其 附 属 公 司 的 注 册 商 标 其 他 名 称 可 能 是 各 自 所 有 者 的 商 标 Intel 和 Intel Xeon 是 Intel Corporation 的 商 标 或 注 册 商 标 所 有 SPARC 商 标 均 是 SPARC International, Inc 的 商 标 或 注 册 商 标, 并 应 按 照 许 可 证 的 规 定 使 用 AMD Opteron AMD 徽 标 以 及 AMD Opteron 徽 标 是 Advanced Micro Devices 的 商 标 或 注 册 商 标 UNIX 是 The Open Group 的 注 册 商 标 本 软 件 或 硬 件 以 及 文 档 可 能 提 供 了 访 问 第 三 方 内 容 产 品 和 服 务 的 方 式 或 有 关 这 些 内 容 产 品 和 服 务 的 信 息 除 非 您 与 Oracle 签 订 的 相 应 协 议 另 行 规 定, 否 则 对 于 第 三 方 内 容 产 品 和 服 务,Oracle Corporation 及 其 附 属 公 司 明 确 表 示 不 承 担 任 何 种 类 的 保 证, 亦 不 对 其 承 担 任 何 责 任 除 非 您 和 Oracle 签 订 的 相 应 协 议 另 行 规 定, 否 则 对 于 因 访 问 或 使 用 第 三 方 内 容 产 品 或 服 务 所 造 成 的 任 何 损 失 成 本 或 损 害,Oracle Corporation 及 其 附 属 公 司 概 不 负 责

目 录 前 言... 5 目 标 读 者... 5 文 档 可 访 问 性... 5 1. 概 述... 7 产 品 概 述... 7 一 般 安 全 原 则... 7 保 持 软 件 为 最 新 版 本... 7 限 制 对 关 键 服 务 的 网 络 访 问... 7 遵 循 最 小 特 权 原 则... 7 监 视 系 统 活 动... 8 密 切 关 注 最 新 安 全 信 息... 8 2. 安 全 安 装... 9 了 解 您 的 环 境... 9 需 要 保 护 哪 些 资 源?... 9 要 避 免 资 源 被 哪 些 用 户 访 问?... 9 如 果 对 战 略 性 资 源 的 保 护 失 败, 将 会 产 生 什 么 后 果?... 9 保 护 ACSLS 的 建 议 过 程... 9 保 护 ACSLS Internet 通 信... 9 保 护 企 业 防 火 墙 后 面 的 ACSLS 和 磁 带 库... 10 ACSLS 防 火 墙 安 全 选 项... 10 用 于 ACSLS 通 信 的 以 太 网 端 口... 10 配 置 在 ACSLS 服 务 器 上 运 行 的 防 火 墙... 12 安 装 和 配 置 Solaris... 13 安 装 和 配 置 Linux... 14 审 计 Linux 安 全 性... 15 SELinux 安 全 性... 15 安 装 和 配 置 ACSLS... 15 执 行 标 准 ACSLS 安 装... 15 对 ACSLS 用 户 ID 使 用 强 密 码... 16 限 定 对 ACSLS 文 件 的 访 问... 16 对 于 三 个 ACSLS 文 件, 将 "root" 设 置 为 有 效 用 户 ID... 16 查 看 ACSLS 静 态 和 动 态 变 量 的 设 置... 16 3

StorageTek Automated Cartridge System Library Software 配 置 WebLogic... 16 使 用 ACSLS useradmin.sh 实 用 程 序 创 建 和 维 护 ACSLS GUI 用 户... 17 使 用 ACSLS GUI... 17 在 GUI 客 户 机 系 统 上 安 装 最 新 的 JRE 版 本... 17 访 问 ACSLS GUI... 17 使 用 ACSLS GUI... 17 ACSLS 演 示 证 书... 17 配 置 自 签 名 数 字 证 书... 18 由 第 三 方 签 名 机 构 签 名 的 数 字 证 书... 18 安 装 ACSLS HA... 18 3. 安 全 功 能... 19 安 全 模 型... 19 配 置 和 使 用 验 证... 19 由 Solaris 或 Linux 操 作 系 统 执 行 的 ACSLS 用 户 验 证... 19 由 WebLogic 执 行 的 ACSLS GUI 用 户 验 证... 19 审 计 注 意 事 项... 20 使 审 计 信 息 保 持 具 有 可 管 理 性... 20 评 估 审 计 目 的... 20 目 标 明 确 地 进 行 审 计... 20 配 置 和 使 用 ACSLS 审 计 日 志... 20 ACSLS 日 志 目 录... 20 ACSLS 日 志 /sslm 目 录... 22 从 GUI 日 志 查 看 器 中 查 看 ACSLS 审 计 迹... 22 从 GUI 中 查 看 系 统 事 件... 22 配 置 和 使 用 Solaris 审 计 日 志... 22 配 置 和 使 用 Linux 审 计 日 志... 23 配 置 和 使 用 WebLogic 审 计 日 志... 23 4. 针 对 开 发 者 的 安 全 注 意 事 项... 25 在 客 户 机 应 用 程 序 服 务 器 上 启 用 防 火 墙 安 全 功 能... 25 A. 安 全 部 署 核 对 表... 27 B. 参 考... 29 4

前 言 本 文 档 介 绍 了 Oracle 的 StorageTek Automated Cartridge System Library Software (ACSLS) 和 ACSLS 高 可 用 性 解 决 方 案 (ACSLS HA) 的 安 全 功 能 因 为 ACSLS HA 和 ACSLS SNMP Agent 也 在 ACSLS 服 务 器 上 运 行, 所 以, 保 护 ACSLS 服 务 器 将 保 护 ACSLS ACSLS HA 和 ACSLS SNMP Agent 目 标 读 者 文 档 可 访 问 性 本 指 南 的 目 标 读 者 是 要 使 用 ACSLS 的 安 全 功 能 以 及 要 安 全 可 靠 地 安 装 和 配 置 ACSLS 的 所 有 人 有 关 Oracle 对 可 访 问 性 的 承 诺, 请 访 问 Oracle Accessibility Program 网 站 http:// www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc 获 得 Oracle 支 持 购 买 了 支 持 服 务 的 Oracle 客 户 可 通 过 My Oracle Support 获 得 电 子 支 持 有 关 信 息, 请 访 问 http://www.oracle.com/pls/topic/lookup?ctx=acc&id=info; 如 果 您 听 力 受 损, 请 访 问 http://www.oracle.com/pls/topic/lookup?ctx=acc&id=trs 前 言 5

6

1 第 1 章 概 述 本 部 分 概 述 了 ACSLS 并 说 明 了 应 用 程 序 的 一 般 安 全 原 则 注 意 : 在 本 文 档 中,Automated Cartridge System Library Software 产 品 称 为 ACSLS,ACSLS 高 可 用 性 解 决 方 案 称 为 ACSLS HA 产 品 概 述 一 般 安 全 原 则 ACSLS 是 Oracle 的 磁 带 库 服 务 器 软 件, 可 以 为 开 放 式 系 统 客 户 机 控 制 一 个 或 多 个 StorageTek 磁 带 库 自 动 化 磁 带 系 统 (Automated Cartridge System, ACS) 是 一 个 磁 带 库 或 一 组 通 过 直 通 端 口 (pass-thru-port, PTP) 连 接 的 磁 带 库 ACSLS 通 过 在 网 络 间 发 送 的 "control path" 命 令 来 管 理 一 个 或 多 个 ACS 该 软 件 包 括 系 统 管 理 组 件 与 客 户 机 系 统 应 用 程 序 的 接 口 和 磁 带 库 管 理 工 具 以 下 原 则 是 安 全 使 用 任 何 产 品 的 基 本 原 则 保 持 软 件 为 最 新 版 本 良 好 的 安 全 做 法 包 括 许 多 原 则, 其 中 一 条 就 是 使 所 有 软 件 版 本 和 修 补 程 序 保 持 最 新 本 文 档 假 定 您 运 行 的 是 ACSLS 8.4 或 更 高 发 行 版, 并 应 用 了 所 有 相 关 维 护 运 行 最 新 的 ACSLS 发 行 版 可 确 保 您 拥 有 最 新 的 增 强 和 修 复 功 能 向 OS 以 及 随 OS 安 装 的 服 务 应 用 所 有 重 要 的 安 全 修 补 程 序 请 有 选 择 地 应 用 这 些 修 补 程 序, 因 为 应 用 所 有 可 用 更 新 可 能 会 安 装 尚 未 针 对 ACSLS 和 ACSLS HA 测 试 的 新 功 能 甚 至 是 新 的 OS 发 行 版 限 制 对 关 键 服 务 的 网 络 访 问 使 ACSLS 及 其 管 理 的 磁 带 库 位 于 防 火 墙 后 面 建 议 使 用 专 用 网 络 在 ACSLS 和 磁 带 库 之 间 进 行 TCP/IP 通 信 遵 循 最 小 特 权 原 则 最 小 特 权 原 则 是 指 应 当 向 用 户 授 予 履 行 其 职 责 所 需 的 最 小 特 权 应 定 期 查 看 用 户 特 权, 以 确 保 仅 授 予 与 当 前 工 作 职 责 相 关 的 特 权 第 1 章 概 述 7

一 般 安 全 原 则 在 ACSLS 上, 这 意 味 着 仅 使 用 cmd_proc 发 出 常 规 命 令 的 操 作 员 应 该 以 acssa 用 户 身 份 登 录 以 acsss 用 户 身 份 登 录 的 系 统 管 理 员 还 可 以 访 问 大 量 的 实 用 程 序 和 配 置 命 令 对 于 常 规 操 作, 无 需 使 用 acsdb 用 户 ID 监 视 系 统 活 动 系 统 安 全 依 靠 以 下 三 方 面 : 良 好 的 安 全 协 议 合 适 的 系 统 配 置 以 及 系 统 监 视 审 计 和 查 看 审 计 记 录 可 满 足 系 统 安 全 性 的 第 三 个 要 求 系 统 中 的 每 个 组 件 都 具 有 一 定 程 度 的 监 视 能 力 请 遵 循 本 文 档 中 的 审 计 建 议, 定 期 监 视 审 计 记 录 密 切 关 注 最 新 安 全 信 息 Oracle 会 持 续 不 断 地 改 进 其 软 件 和 文 档 请 查 看 此 文 档 的 每 个 发 行 版, 确 定 是 否 有 修 订 内 容 8

2 第 2 章 安 全 安 装 了 解 您 的 环 境 本 部 分 概 述 了 安 全 安 装 和 配 置 的 规 划 和 实 现 过 程, 并 介 绍 了 ACSLS 的 建 议 部 署 拓 扑 要 更 好 地 了 解 安 全 需 求, 必 须 回 答 以 下 问 题 : 需 要 保 护 哪 些 资 源? ACSLS 管 理 的 关 键 资 源 包 括 磁 带 库 磁 带 机 和 磁 带 这 些 资 源 需 要 受 到 保 护, 以 防 受 到 意 外 和 恶 意 访 问 例 如, 防 止 人 员 在 不 同 的 服 务 器 上 使 用 ACSLS 用 户 ID 的 其 他 密 码 误 登 录 到 其 他 ACSLS 服 务 器 要 避 免 资 源 被 哪 些 用 户 访 问? 您 要 避 免 未 经 授 权 的 内 部 和 外 部 用 户 访 问 磁 带 存 储 资 源 如 果 对 战 略 性 资 源 的 保 护 失 败, 将 会 产 生 什 么 后 果? ACSLS 可 以 在 磁 带 机 上 挂 载 磁 带 如 果 用 户 可 以 通 过 数 据 路 径 连 接 到 磁 带 机, 则 可 以 读 取 未 加 密 的 磁 带 数 据 能 够 同 时 访 问 ACSLS 和 磁 带 库 的 用 户 可 以 装 入 和 弹 出 磁 带 库 的 磁 带 保 护 ACSLS 的 建 议 过 程 保 护 ACSLS 和 必 需 的 基 础 结 构 组 件 时, 请 遵 循 以 下 过 程 以 确 保 ACSLS 在 进 行 更 改 后 可 以 继 续 工 作 : 安 装 ACSLS 检 验 ACSLS 是 否 可 正 常 工 作 包 括 配 置 和 审 计 磁 带 库 挂 载 和 卸 载 磁 带 装 入 和 弹 出 磁 带 以 及 备 份 和 恢 复 数 据 库 实 施 更 改 以 提 高 安 全 性 检 验 ACSLS 是 否 仍 可 正 常 工 作 保 护 ACSLS Internet 通 信 本 部 分 介 绍 了 部 署 ACSLS 以 保 护 Internet 访 问 的 建 议 第 2 章 安 全 安 装 9

保 护 ACSLS Internet 通 信 保 护 企 业 防 火 墙 后 面 的 ACSLS 和 磁 带 库 ACSLS 及 其 支 持 的 磁 带 库 应 部 署 在 企 业 防 火 墙 后 面 如 果 远 程 工 作 人 员 需 要 登 录 到 ACSLS 服 务 器, 他 们 可 以 通 过 VPN 进 行 访 问 注 意 : 如 果 具 有 基 于 IPv4 的 边 缘 防 火 墙, 该 防 火 墙 应 配 置 为 删 除 所 有 出 站 IPv4 协 议 41 数 据 包 和 UDP 端 口 3544 数 据 包, 以 防 止 Internet 主 机 使 用 任 何 IPv6-over-IPv4 隧 道 通 信 访 问 内 部 主 机 ACSLS 防 火 墙 安 全 选 项 如 果 通 过 防 火 墙 将 使 用 ACSLS 来 挂 载 磁 带 和 管 理 磁 带 库 的 客 户 机 应 用 程 序 与 ACSLS 隔 开, 我 们 建 议 启 用 防 火 墙 安 全 选 项 即 使 未 通 过 防 火 墙 将 客 户 机 应 用 程 序 与 ACSLS 隔 开, 实 施 防 火 墙 安 全 选 项 也 可 提 供 附 加 的 ACSLS 安 全 性 ( 通 过 限 制 用 于 在 ACSLS 及 其 客 户 机 应 用 程 序 之 间 通 信 的 端 口 ), 如 下 所 示 因 此,CSI_FIREWALL _SECURE 静 态 变 量 在 ACSLS 8.1 和 更 高 发 行 版 中 默 认 为 TRUE 有 关 详 细 信 息, 请 参 见 ACSLS 管 理 员 指 南 中 的 防 火 墙 安 全 选 项 附 录 用 于 ACSLS 通 信 的 以 太 网 端 口 ACSLS 服 务 器 上 可 使 用 以 下 端 口 确 保 将 任 何 防 火 墙 配 置 为 允 许 与 这 些 端 口 进 行 通 信 这 包 括 由 Solaris 上 的 ipfilter 或 Linux 上 的 iptables 实 施 的 防 火 墙 22 双 向 端 口 - 用 于 ssh 访 问 111 端 口 映 射 器, 除 非 已 禁 用 端 口 映 射 器 115 端 口, 用 于 SFTP( 安 全 文 件 传 输 协 议 ) 161 默 认 端 口, 用 于 ACSLS SNMP 代 理 -get/set/walk 162 默 认 端 口, 用 于 ACSLS SNMP 代 理 - 陷 阱 10

保 护 ACSLS Internet 通 信 注 意 : ACSLS SNMP 代 理 使 用 的 端 口 可 由 以 下 命 令 进 行 配 置 :AcslsAgtdSnmpConf [ -p port ] [-t trap port] [-d] -d 选 项 用 于 显 示 当 前 设 置 更 改 端 口 设 置 后, 必 须 使 用 命 令 agentregister 重 新 启 动 代 理 5432 默 认 端 口, 用 于 从 ACSLS 到 PostgreSQL 数 据 库 的 内 部 通 信 (acsss 用 户 ID 对 应 的 PGPORT 环 境 变 量 ) 如 果 已 获 取 端 口 5432, 则 将 使 用 下 一 个 可 用 的 较 高 端 口 号 注 意 : 端 口 5432 仅 需 本 地 主 机 (127.0.0.1) 访 问 7001 和 7002- 由 WebLogic 和 ACSLS GUI 使 用 30031 或 ACSLS CSI 的 侦 听 端 口, 由 CSI_INET_PORT 设 置 50003 端 口 用 于 从 ACSLS GUI 和 Java 组 件 到 旧 版 ACSLS 处 理 的 内 部 通 信 此 端 口 不 可 配 置 要 让 客 户 机 应 用 程 序 通 过 ACSAPI 与 ACSLS 进 行 通 信, 必 须 开 启 以 下 端 口 : 客 户 机 应 用 程 序 必 须 能 够 与 ACSLS CSI 的 侦 听 端 口 进 行 通 信 该 端 口 默 认 为 30031, 由 CSI_INET_PORT 静 态 变 量 进 行 设 置 您 可 以 从 Unix shell 中 使 用 以 下 命 令 来 搜 索 哪 些 端 口 正 由 ACSLS 用 来 侦 听 来 自 ACSAPI 客 户 机 的 请 求 : rpcinfo -p egrep "300031 536871166" 显 示 的 最 后 一 个 字 段 中 将 列 出 端 口 ID ACSAPI 客 户 机 ( 例 如,NetBackup 或 SAM-QFS 服 务 器 ) 可 使 用 SSI_INET _PORT 环 境 变 量 设 置 其 固 定 传 入 端 口 指 定 1024-65535 范 围 内 的 端 口 ( 端 口 50001 和 50004 除 外 ) ACSLS 服 务 器 必 须 能 够 与 此 端 口 通 信 注 意 : 在 ACSAPI 客 户 机 服 务 器 上, 端 口 50001 和 50004 用 于 AF_INET 域 IPC 与 小 型 事 件 记 录 程 序 的 通 信, 以 及 从 客 户 机 应 用 程 序 到 SSI 的 通 信 有 关 客 户 机 应 用 程 序 与 ACSLS 之 间 通 信 的 更 多 详 细 信 息, 请 参 见 ACSLS 管 理 员 指 南 中 的 防 火 墙 安 全 选 项 附 录 如 果 安 装 了 XAPI 组 件, 则 XAPI 服 务 器 将 使 用 固 定 的 侦 听 端 口 接 收 来 自 ELS 客 户 机 的 传 入 TCP 请 求 XAPI 侦 听 端 口 是 由 XAPI_PORT 静 态 变 量 定 义 的 XAPI _PORT 默 认 为 50020 它 必 须 介 于 1024 和 65535 之 间, 并 且 不 能 与 ACSLS 或 其 他 应 用 程 序 使 用 的 任 何 其 他 端 口 冲 突 有 关 XAPI_PORT 的 更 多 详 细 信 息, 请 参 见 ACSLS 管 理 员 指 南 中 的 XAPI 客 户 机 接 口 附 录 该 附 录 还 提 供 了 有 关 如 何 显 示 和 设 置 XAPI_PORT 静 态 变 量 的 详 细 信 息 第 2 章 安 全 安 装 11

保 护 ACSLS Internet 通 信 SL8500 或 SL3000 磁 带 库 上 必 须 开 启 的 端 口 : ACSLS 在 SL8500 或 SL3000 磁 带 库 的 2A 和 2B 以 太 网 连 接 上 与 这 些 端 口 进 行 通 信 如 果 从 ACSLS 到 这 些 端 口 的 通 信 被 阻 止, 则 ACSLS 将 无 法 管 理 磁 带 库 50001- 用 于 ACSLS 和 磁 带 库 之 间 的 所 有 正 常 通 信 50002- 供 ACSLS HA 用 来 确 定 备 用 HA 节 点 是 否 能 够 在 故 障 转 移 到 备 用 节 点 前 与 磁 带 库 进 行 通 信 配 置 在 ACSLS 服 务 器 上 运 行 的 防 火 墙 除 了 外 部 防 火 墙, 还 可 以 通 过 Solaris 上 的 ipfilter 或 Linux 上 的 iptables 在 ACSLS 服 务 器 上 实 施 防 火 墙 保 护 下 面 介 绍 如 何 管 理 这 些 在 ACSLS 服 务 器 上 运 行 的 防 火 墙 管 理 Solaris 上 的 ipfilter: 有 关 详 细 信 息, 请 参 阅 ipf 和 ipfilter 的 手 册 页 ipfilter 防 火 墙 由 "root" 使 用 以 下 命 令 启 用 ( 禁 用 ): svcadm enable ipfilter (svcadm disable ipfilter) 了 解 ipfilter 的 当 前 状 态 : svcs ipfilter 以 下 文 件 中 定 义 了 防 火 墙 策 略 :/etc/ipf/ipf.conf 要 允 许 在 本 地 主 机 上 的 组 件 之 间 ( 例 如,ACSLS 和 WebLogic 之 间 或 GUI 和 ACSLS 数 据 库 之 间 ) 自 由 通 信, 请 包 含 如 下 语 句 : pass in quick from 127.0.0.1 to 127.0.0.1 或 pass in quick from 127.0.0.1 to all 需 要 定 义 策 略 以 允 许 访 问 ACSLS 所 需 的 所 有 端 口 例 如, 要 包 含 允 许 基 于 Web 的 远 程 浏 览 器 访 问 ACSLS GUI 的 策 略, 需 要 开 启 端 口 7001 和 7002 pass in quick from any to any port = 7001 pass in quick from any to any port = 7002 在 搜 索 ACSLS 使 用 哪 些 端 口 来 侦 听 来 自 ACSAPI 客 户 机 的 请 求 之 后, 为 这 些 端 口 中 的 每 个 端 口 添 加 "pass in quick" 语 句 可 能 需 要 为 RPC 端 口 映 射 器 端 口 111 包 含 "pass in quick" 语 句 建 议 规 则 集 中 的 最 后 一 条 语 句 "block in from any" 指 出, 除 非 先 前 的 语 句 中 特 别 允 许, 否 则 不 应 当 有 通 往 主 机 的 通 信 管 理 Linux 上 的 iptables: 12

安 装 和 配 置 Solaris iptables 防 火 墙 由 "root" 使 用 以 下 命 令 启 用 ( 禁 用 ): service iptables start (service iptables stop) 检 查 iptables 的 状 态 : service iptables status iptables 对 应 的 策 略 文 件 是 /etc/sysconfig/iptables: 需 要 定 义 策 略 以 允 许 访 问 ACSLS 所 需 的 所 有 端 口 例 如, 要 包 含 允 许 通 过 http/ https 远 程 访 问 ACSLS GUI 的 策 略, 应 该 使 用 类 似 以 下 的 语 句 更 新 该 文 件, 以 包 含 端 口 7001 和 7002 的 例 外 情 况 : -A input -p tcp --dport 7001 -j ACCEPT 安 装 和 配 置 Solaris -A input -p tcp --dport 7002 -j ACCEPT 在 搜 索 ACSLS 使 用 哪 些 端 口 来 侦 听 来 自 ACSAPI 客 户 机 的 请 求 之 后, 需 要 将 这 些 端 口 中 的 每 个 端 口 的 例 外 情 况 添 加 到 iptables 策 略 文 件 可 能 需 要 为 RPC 端 口 映 射 器 端 口 111 包 含 例 外 情 况 语 句 本 部 分 介 绍 如 何 安 全 地 安 装 和 配 置 Solaris 建 议 包 括 : 向 OS 以 及 随 OS 安 装 的 服 务 应 用 所 有 重 要 的 安 全 修 补 程 序 请 有 选 择 地 应 用 这 些 修 补 程 序, 因 为 应 用 所 有 可 用 更 新 可 能 会 安 装 尚 未 针 对 ACSLS 和 ACSLS HA 测 试 的 新 功 能 甚 至 是 新 的 OS 发 行 版 禁 用 telnet 和 rlogin 改 用 ssh 还 要 禁 用 ftp, 改 用 sftp 通 过 以 root 身 份 发 出 以 下 命 令 来 禁 用 telnet rlogin 和 ftp 服 务 查 看 所 有 服 务 : svcs 禁 用 telnet rlogin 和 ftp: svcadm disable telnet svcadm disable rlogin svcadm disable ftp 请 勿 禁 用 ssh 您 想 要 用 户 使 用 ssh 而 不 是 telnet 或 rlogin 远 程 登 录 到 ACSLS 同 样, 请 勿 禁 用 sftp ACSLS 需 要 rpc-bind 请 勿 禁 用 它 第 2 章 安 全 安 装 13

安 装 和 配 置 Linux 安 装 和 配 置 Linux 如 果 使 用 "Secure by Default" 选 项 安 装 了 Solaris, 则 需 要 更 改 rpc-bind 的 网 络 配 置 属 性 以 允 许 ACSAPI 客 户 机 将 请 求 发 送 到 ACSLS 有 关 详 细 信 息, 请 参 阅 ACSLS 安 装 手 册 的 "Installing ACSLS on Solaris" 一 章 中 的 "Installing Solaris" 一 节 需 要 开 启 ACSLS 服 务 器 上 的 一 些 以 太 网 端 口, 才 能 与 ACSLS 进 行 通 信 客 户 机 应 用 程 序 使 用 特 定 的 以 太 网 端 口 与 ACSLS 进 行 通 信, 而 ACSLS 与 磁 带 库 上 的 特 定 端 口 进 行 通 信 有 关 需 要 用 于 供 ACSLS 通 信 的 端 口, 请 参 见 用 于 ACSLS 通 信 的 以 太 网 端 口 在 ACSLS 服 务 器 上, 请 确 保 将 ipfilter 配 置 为 允 许 与 ACSLS 所 用 的 端 口 进 行 通 信 确 定 Solaris 审 计 策 略 Oracle Solaris 管 理 : 安 全 服 务 中 的 在 Oracle Solaris 中 审 计 部 分 可 帮 助 您 规 划 要 审 计 的 事 件 审 计 日 志 应 保 存 的 位 置 以 及 如 何 查 看 日 志 安 全 地 安 装 和 配 置 Linux 的 建 议 : 向 OS 以 及 随 OS 安 装 的 服 务 应 用 所 有 重 要 的 安 全 修 补 程 序 请 有 选 择 地 应 用 这 些 修 补 程 序, 因 为 应 用 所 有 可 用 更 新 可 能 会 安 装 尚 未 针 对 ACSLS 和 ACSLS HA 测 试 的 新 功 能 甚 至 是 新 的 OS 发 行 版 确 保 未 安 装 telnet 和 rlogin 或 禁 用 telnet 和 rlogin 改 用 ssh 同 样, 请 确 保 未 安 装 ftp 或 禁 用 ftp, 并 改 用 sftp 要 查 看 所 有 服 务, 请 以 root 身 份 登 录 并 运 行 以 下 命 令 : service -status-all 要 永 久 删 除 服 务, 请 使 用 : svccfg delete -f service-name 请 勿 禁 用 ssh 您 想 要 用 户 使 用 ssh 而 不 是 telnet 或 rlogin 远 程 登 录 到 ACSLS 同 样, 请 勿 禁 用 sftp 必 须 启 用 网 络 服 务 ( 特 别 是 rpcbind), 以 便 允 许 ACSLS 客 户 机 通 信 在 Linux 上 启 动 rpc 时, 请 使 用 i 标 志 需 要 开 启 ACSLS 服 务 器 上 的 一 些 以 太 网 端 口, 才 能 与 ACSLS 进 行 通 信 客 户 机 应 用 程 序 使 用 特 定 的 以 太 网 端 口 与 ACSLS 进 行 通 信, 而 ACSLS 与 磁 带 库 上 的 特 定 端 口 进 行 通 信 有 关 需 要 用 于 供 ACSLS 通 信 的 端 口, 请 参 见 用 于 ACSLS 通 信 的 以 太 网 端 口 在 ACSLS 服 务 器 上, 请 确 保 将 iptables 配 置 为 允 许 与 ACSLS 所 用 的 端 口 进 行 通 信 14

安 装 和 配 置 ACSLS 审 计 Linux 安 全 性 确 定 Linux 审 计 策 略 Oracle Linux: Security Guide for Release 6 中 的 "Configuring and Using Auditing" 部 分 可 帮 助 您 规 划 要 审 计 的 事 件 审 计 日 志 应 保 存 的 位 置 以 及 如 何 查 看 日 志 用 于 审 计 Linux 安 全 性 的 有 用 日 志 和 命 令 包 括 : 以 root 身 份 查 看 var/log/secure 以 了 解 登 录 尝 试 和 其 他 访 问 消 息 的 历 史 记 录 命 令 "last more" 提 供 登 录 的 用 户 的 历 史 记 录 /var/log/audit/audit.log.[0-9] 保 存 了 SE Linux 拒 绝 的 访 问 尝 试 的 日 志 必 须 成 为 root 用 户 才 能 查 看 这 些 内 容 SELinux 安 全 性 安 装 和 配 置 ACSLS ACSLS 8.4 设 计 为 在 可 选 的 安 全 性 增 强 型 Linux 环 境 中 运 行 SELinux 提 供 对 文 件 目 录 和 其 他 系 统 资 源 的 访 问 控 制, 超 越 了 Unix 环 境 中 作 为 标 准 的 传 统 保 护 除 了 owner-group-public 权 限 访 问,SELinux 还 包 括 基 于 用 户 角 色 域 和 上 下 文 的 访 问 控 制 对 所 有 系 统 资 源 实 施 访 问 控 制 的 代 理 是 Linux 内 核 Linux 系 统 上 的 root 用 户 可 以 通 过 setenforce 命 令 将 实 施 状 态 设 置 为 开 启 或 关 闭 setenforce [Enforcing Permissive 1 0 ] 使 用 Enforcing 或 1 可 将 SELinux 置 于 实 施 模 式 使 用 Permissive 或 0 可 将 SELinux 置 于 许 可 模 式 要 查 看 当 前 的 系 统 实 施 状 态, 请 使 用 命 令 getenforce 安 装 ACSLS 时, 内 核 中 会 装 入 三 个 SELinux 策 略 模 块 :allowpostgr acsdb 和 acsdb1 SELinux 实 施 方 案 有 效 时, 这 些 模 块 提 供 ACSLS 访 问 自 身 数 据 库 和 其 他 系 统 资 源 所 需 的 定 义 和 实 施 方 案 例 外 情 况 安 装 这 些 模 块 后, 您 应 当 能 够 运 行 常 规 ACSLS 操 作, 包 括 数 据 库 操 作 ( 例 如 bdb.acsss rdb.acsss db_export.sh 和 db _import.sh), 无 需 禁 用 SELinux 实 施 方 案 有 关 更 多 信 息, 请 参 阅 StorageTek ACSLS 8.4 管 理 员 指 南 的 故 障 排 除 附 录 中 有 关 SELinux 的 部 分 本 部 分 说 明 如 何 安 全 地 安 装 ACSLS 执 行 标 准 ACSLS 安 装 执 行 标 准 ACSLS 安 装 可 确 保 您 具 备 所 有 必 需 的 组 件 如 果 要 从 以 前 的 ACSLS 发 行 版 迁 移 到 较 后 的 ACSLS 发 行 版, 请 查 看 动 态 变 量 和 静 态 变 量 的 设 置, 了 解 是 否 要 使 用 更 多 的 安 全 选 项, 特 别 是 有 关 防 火 墙 安 全 选 项 第 2 章 安 全 安 装 15

配 置 WebLogic 配 置 WebLogic 对 ACSLS 用 户 ID 使 用 强 密 码 ACSLS 需 要 ACSLS 用 户 ID:acsss acssa 和 acsdb 对 于 这 些 ID, 请 选 择 强 密 码, 并 定 期 更 改 密 码 限 定 对 ACSLS 文 件 的 访 问 ACSLS 通 常 将 对 ACSLS 文 件 的 访 问 仅 限 定 于 acsls 组, 其 中 包 括 acsss acssa acsdb 和 root 用 户 ID 某 些 数 据 库 和 诊 断 文 件 仅 可 由 单 个 acsls 用 户 ID 访 问 ACSLS 运 行 时 采 用 的 umask 设 置 为 027 ACSLS 文 件 不 应 设 置 为 全 局 可 读 或 全 局 可 写 但 是, 限 制 默 认 安 装 设 置 以 外 的 访 问 可 能 会 造 成 ACSLS 运 行 失 败 对 于 三 个 ACSLS 文 件, 将 "root" 设 置 为 有 效 用 户 ID 安 装 脚 本 建 议 客 户 必 须 在 /export/home/acsss 文 件 系 统 的 三 个 可 执 行 文 件 中 设 置 "root" 的 有 效 用 户 ID (setuid): acsss( 该 二 进 制 文 件 必 须 以 "root" 特 权 运 行, 因 为 它 用 于 启 动 和 停 止 ACSLS 应 用 程 序 所 需 的 系 统 服 务 ) db_command( 该 二 进 制 文 件 可 启 动 和 停 止 用 于 控 制 和 维 护 ACSLS 数 据 库 的 PostgreSQL 数 据 库 引 擎 ) get_diags( 该 二 进 制 文 件 由 客 户 调 用 以 收 集 全 面 的 系 统 诊 断 信 息, 服 务 支 持 调 用 的 上 下 文 中 可 能 需 要 这 些 信 息 ) 使 用 pkgadd 安 装 ACSLS 期 间, 系 统 会 提 示 客 户 :Do you want to install these as setuid/setgid files?( 您 是 否 要 安 装 这 些 文 件 使 之 成 为 setuid/setgid 文 件?) 针 对 提 示 回 答 y, 将 允 许 acsls 组 中 的 用 户 运 行 这 三 个 命 令, 即 使 实 用 程 序 执 行 某 些 要 求 root 特 权 的 系 统 操 作 也 是 如 此 查 看 ACSLS 静 态 和 动 态 变 量 的 设 置 ACSLS 静 态 和 动 态 变 量 控 制 许 多 ACSLS 功 能 的 行 为 使 用 acsss_config 实 用 程 序 设 置 这 些 变 量 本 文 档 讨 论 了 这 些 变 量 中 许 多 变 量 的 安 全 设 置 acsss_config 显 示 某 一 变 量 的 选 项 时, 以 问 号 (?) 形 式 作 答 将 会 显 示 该 变 量 的 详 细 解 释 ACSLS 管 理 员 指 南 的 设 置 控 制 ACSLS 行 为 的 变 量 一 章 中 也 提 供 了 此 信 息 ACSLS 8.1 和 更 高 发 行 版 使 用 WebLogic 作 为 其 Web 服 务 器 WebLogic 随 ACSLS 一 起 安 装 有 关 保 护 WebLogic 服 务 器 以 及 WebLogic 审 计 迹 可 能 性 的 选 项, 请 参 阅 Oracle Fusion Middleware Understanding Security for Oracle WebLogic Server 11g Release 1 (10.3.6) 16

使 用 ACSLS GUI 使 用 ACSLS GUI 使 用 ACSLS useradmin.sh 实 用 程 序 创 建 和 维 护 ACSLS GUI 用 户 useradmin.sh 菜 单 驱 动 的 实 用 程 序 用 于 管 理 ACSLS GUI 用 户 密 码 您 可 以 添 加 用 户 删 除 用 户 列 出 用 户 以 及 更 改 用 户 密 码 必 须 运 行 WebLogic 才 能 使 用 该 实 用 程 序 如 果 WebLogic 尚 未 运 行, 该 实 用 程 序 会 启 动 WebLogic 并 确 认 联 机 后 才 显 示 菜 单 useradmin.sh 实 用 程 序 必 须 由 root 运 行, 并 需 要 acsls_admin 验 证 ACSLS 安 装 期 间 将 配 置 acsls_admin 用 户 帐 户 要 使 用 ACSLS GUI, 您 需 要 安 装 最 新 的 JRE 版 本, 并 通 过 浏 览 器 访 问 ACSLS GUI 在 GUI 客 户 机 系 统 上 安 装 最 新 的 JRE 版 本 确 保 在 系 统 上 安 装 了 Java Runtime Environment (JRE) 的 最 新 版 本, 系 统 将 使 用 ACSLS GUI 访 问 ACSLS 访 问 ACSLS GUI 打 开 浏 览 器, 按 照 以 下 格 式 输 入 包 含 服 务 器 主 机 名 或 IP 地 址 的 URL: https://myacslshostname.mydomainname:7002/slimgui/faces/slim.jsp 或 https://127.99.99.99:7002/slimgui/faces/slim.jsp 最 好 使 用 主 机 的 全 限 定 主 机 名 或 IP 地 址 如 果 WebLogic 不 能 完 全 解 析 URL, 则 一 些 页 面 ( 包 括 ACSLS 帮 助 页 面 ) 可 能 不 会 正 确 显 示 如 果 同 时 使 用 http 和 端 口 7001, 则 WebLogic 将 自 动 将 您 重 新 路 由 到 端 口 7002 上 的 https 由 于 WebLogic 使 用 安 全 https 协 议, 因 此 您 的 浏 览 器 可 能 会 向 您 发 出 警 告, 指 出 站 点 安 全 证 书 尚 未 注 册, 因 而 不 可 信 如 果 您 确 信 该 URL 是 本 地 ACSLS 计 算 机, 则 可 以 放 心 地 继 续 执 行 操 作 此 时, 您 应 当 看 到 登 录 屏 幕 使 用 ACSLS GUI 访 问 WebLogic 中 的 AcslsDomain 时 使 用 安 全 协 议 https 该 协 议 使 用 私 钥 和 数 字 证 书 在 浏 览 器 与 服 务 器 之 间 提 供 加 密 的 通 信 下 面 是 用 于 获 取 数 字 证 书 的 选 项 : ACSLS 演 示 证 书 ACSLS 附 带 了 一 个 所 谓 的 演 示 证 书 这 提 供 了 最 低 级 别 的 加 密 安 全 性, 使 客 户 不 需 要 执 行 进 一 步 的 配 置 步 骤 即 可 开 始 使 用 ACSLS GUI 如 果 客 户 与 ACSLS 磁 带 库 之 间 第 2 章 安 全 安 装 17

安 装 ACSLS HA 安 装 ACSLS HA 的 交 互 完 全 在 安 全 的 内 联 网 内 进 行, 则 此 演 示 认 证 方 法 通 常 就 足 够 了 不 过, 此 方 法 采 用 一 个 512 位 加 密 密 钥, 某 些 浏 览 器 上 不 支 持 此 密 钥, 特 别 是 Internet Explorer 和 FireFox 版 本 39 及 更 高 版 本 配 置 自 签 名 数 字 证 书 ACSLS 安 装 指 南 为 ACSLS 管 理 员 提 供 了 配 置 长 度 为 2048 位 的 自 签 名 数 字 证 书 的 分 步 方 法 在 名 为 配 置 SSL 加 密 密 钥 的 部 分 中, 此 方 法 提 供 了 一 个 在 所 有 浏 览 器 上 都 受 支 持 的 证 书 访 问 使 用 自 签 名 证 书 的 https 站 点 的 用 户 会 被 劝 告 不 要 继 续 访 问 该 站 点, 除 非 他 们 自 己 知 道 该 Web 资 源 是 一 个 可 信 站 点 在 ACSLS 用 户 和 磁 带 库 控 制 服 务 器 的 上 下 文 中, 此 信 任 级 别 通 常 很 好 理 解, 在 大 多 数 情 况 下, 站 点 不 需 要 使 用 第 三 方 签 名 验 证 来 证 明 其 完 整 性 由 第 三 方 签 名 机 构 签 名 的 数 字 证 书 每 个 客 户 站 点 自 行 决 定 它 们 是 否 需 要 由 第 三 方 签 名 机 构 ( 例 如 Verisign 或 Entrust.net) 提 供 证 书 验 证 Oracle 联 机 文 档 Configuring Identity and Trust 中 介 绍 了 用 于 生 成 此 类 签 名 数 字 证 书 的 过 程, 该 文 档 位 于 : http://docs.oracle.com/cd/e13222_01/wls/docs92/secmanage/identity _trust.html 如 果 您 要 使 用 ACSLS 高 可 用 性 解 决 方 案, 请 按 照 ACSLS-HA Cluster: Installation, Configuration, and Operations 中 的 说 明 执 行 操 作 18

3 第 3 章 安 全 功 能 本 部 分 介 绍 了 ACSLS 提 供 的 具 体 安 全 机 制 安 全 模 型 配 置 和 使 用 验 证 ACSLS 安 全 要 求 来 源 于 保 护 数 据 的 需 要 : 第 一, 防 止 数 据 意 外 丢 失 和 损 坏, 第 二, 防 止 未 经 授 权 蓄 意 访 问 或 修 改 数 据 第 二 项 关 注 内 容 包 括 防 止 访 问 或 使 用 数 据 时 的 过 度 延 迟, 甚 至 是 避 免 来 自 拒 绝 服 务 的 干 扰 提 供 这 些 保 护 的 关 键 安 全 功 能 包 括 : 验 证 - 确 保 只 有 经 过 授 权 才 能 访 问 系 统 和 数 据 授 权 - 提 供 对 系 统 特 权 和 数 据 的 访 问 控 制 授 权 基 于 验 证, 可 确 保 个 人 仅 能 获 取 相 应 的 访 问 权 限 审 计 - 允 许 管 理 员 检 测 尝 试 进 行 的 验 证 机 制 违 规 行 为 以 及 尝 试 进 行 的 或 成 功 进 行 的 访 问 控 制 违 规 行 为 默 认 情 况 下, 在 Linux 或 Solaris 上,ACSLS 用 户 由 PAM(Pluggable Authentication Module, 可 插 拔 验 证 模 块 ) 进 行 验 证 请 参 阅 Solaris 手 册 页 或 Linux-PAM System Administrators Guide ACSLS GUI 的 用 户 由 WebLogic 中 的 嵌 入 式 LDAP 服 务 器 进 行 验 证 请 参 阅 文 档 Managing the Embedded LDAP Server : http://docs.oracle.com/cd/e13222_01/wls/docs81/secmanage/ldap.html 由 Solaris 或 Linux 操 作 系 统 执 行 的 ACSLS 用 户 验 证 ACSLS 用 户 :acsss 和 acssa 必 须 登 录 到 Solaris 或 Linux 并 通 过 操 作 系 统 验 证 才 能 使 用 cmd_proc 或 执 行 ACSLS 实 用 程 序 和 配 置 命 令 ( 对 于 acsss 用 户 ) acsdb 用 户 ID 还 用 于 与 数 据 库 相 关 的 操 作 作 为 ACSLS 安 装 过 程 的 一 部 分, 客 户 在 第 一 次 登 录 时 必 须 设 置 这 些 ID 的 密 码 有 关 详 细 信 息, 请 参 见 ACSLS 安 装 指 南 由 WebLogic 执 行 的 ACSLS GUI 用 户 验 证 ACSLS GUI 用 户 必 须 登 录 WebLogic 并 通 过 WebLogic 验 证 ACSLS 安 装 期 间 将 创 建 acsls_admin, 客 户 必 须 设 置 其 密 码 客 户 可 以 使 用 useradmin.sh 实 用 程 序 根 据 第 3 章 安 全 功 能 19

审 计 注 意 事 项 审 计 注 意 事 项 需 要 添 加 其 他 GUI 用 户 有 关 详 细 信 息, 请 参 见 ACSLS 安 装 指 南 和 ACSLS 管 理 员 指 南 中 实 用 程 序 一 章 有 关 useradmin.sh 的 部 分 下 面 介 绍 了 适 用 于 ACSLS 的 一 般 审 计 注 意 事 项 使 审 计 信 息 保 持 具 有 可 管 理 性 虽 然 审 计 的 成 本 相 对 廉 价, 但 是 请 尽 可 能 限 制 审 计 事 件 的 数 量 这 样 做 可 以 最 大 限 度 地 减 少 对 审 计 语 句 执 行 性 能 的 影 响, 并 最 大 限 度 地 减 小 审 计 迹 的 大 小, 从 而 可 以 更 轻 松 地 进 行 分 析 理 解 和 管 理 设 计 审 计 策 略 时, 请 遵 循 以 下 一 般 准 则 : 评 估 审 计 目 的 在 清 楚 了 解 审 计 原 因 之 后, 可 以 设 计 相 应 的 审 计 策 略 并 避 免 不 必 要 的 审 计 目 标 明 确 地 进 行 审 计 审 计 获 取 目 标 信 息 所 必 需 的 最 少 量 的 语 句 用 户 或 对 象 配 置 和 使 用 ACSLS 审 计 日 志 ACSLS 具 有 多 个 信 息 日 志, 允 许 您 记 录 和 检 查 ACSLS 活 动 您 可 以 使 用 vi 和 其 他 编 辑 器 查 看 大 多 数 日 志 系 统 事 件 只 能 通 过 使 用 ACSLS GUI 进 行 查 看 这 些 日 志 中 的 大 多 数 日 志 在 达 到 客 户 定 义 的 大 小 后 可 以 自 动 归 档, 客 户 指 定 数 量 的 日 志 将 被 保 留 为 避 免 填 满 ACSLS 文 件 系 统, 将 限 制 保 留 的 日 志 数 量, 可 对 该 限 制 进 行 配 置 如 果 要 保 留 更 多 的 日 志 文 件 或 将 其 保 留 在 其 他 系 统 上, 则 需 要 开 发 自 己 的 程 序, 将 其 归 档 到 某 个 有 足 够 空 间 的 位 置 要 保 留 的 归 档 日 志 的 大 小 数 量 和 这 些 文 件 的 其 他 特 性 可 由 ACSLS 动 态 和 静 态 变 量 进 行 定 义 ACSLS 日 志 目 录 ACSLS 日 志 目 录 由 LOG_PATH 静 态 变 量 进 行 控 制 默 认 目 录 为 $ACS_HOME/log 该 目 录 包 含 以 下 日 志 : acsss_event.log 该 日 志 记 录 了 重 要 的 ACSLS 系 统 事 件 磁 带 库 事 件 和 错 误 的 消 息 当 acsss_event.log 达 到 LOG_SIZE 动 态 变 量 定 义 的 阈 值 大 小 后, 系 统 会 将 其 复 制 到 event0.log 并 清 除 在 复 制 过 程 中, 保 留 的 事 件 日 志 会 被 复 制 到 编 号 更 20

配 置 和 使 用 ACSLS 审 计 日 志 高 的 保 留 日 志 中, 编 号 最 高 的 保 留 日 志 将 被 覆 盖 例 如 :event8.log 被 复 制 到 event9.log,event7.log 被 复 制 到 event8.log,,event0.log 被 复 制 到 event1.log,acsss_event.log 被 复 制 到 event0.log, 然 后 acsss_event.log 被 清 除 这 一 操 作 由 以 下 变 量 控 制 : EVENT_FILE_NUMBER 指 定 要 保 留 的 事 件 日 志 数 量 LOG_SIZE 指 定 阈 值 大 小, 事 件 日 志 一 旦 达 到 此 阈 值 就 会 被 复 制 到 保 留 事 件 日 志 并 被 截 断 使 用 greplog 实 用 程 序 过 滤 acsss_event 日 志 以 包 括 或 排 除 包 含 特 定 关 键 字 的 消 息 有 关 更 多 详 细 信 息, 请 参 见 ACSLS 管 理 员 指 南 的 实 用 程 序 一 章 中 的 greplog 配 置 日 志 当 ACSLS 更 新 存 储 在 ACSLS 数 据 库 中 的 磁 带 库 配 置 时, 有 两 个 日 志 记 录 了 详 细 信 息 acsss_config 和 Dynamic Config(config 实 用 程 序 ) 的 配 置 更 改 会 记 录 在 以 下 位 置 acsss_config.log 记 录 ACSLS 支 持 的 磁 带 库 的 所 有 配 置 或 重 新 配 置 详 细 信 息 最 后 的 配 置 更 改 附 加 在 先 前 的 配 置 记 录 后 面 acsss_config_event.log 记 录 在 配 置 和 重 新 配 置 期 间 发 生 的 事 件 rptrail.log 记 录 ACSAPI 客 户 机 或 cmd_proc 对 ACSLS 的 所 有 请 求 的 响 应, 以 及 记 录 对 GUI 或 与 逻 辑 磁 带 库 连 接 的 SCSI 客 户 机 接 口 的 所 有 请 求 ( 数 据 库 查 询 除 外 ) 的 响 应 记 录 的 信 息 包 括 请 求 者 请 求 和 请 求 时 间 戳 rptrail.log 由 以 下 变 量 进 行 管 理 : LM_RP_TRAIL 启 用 ACSLS 事 件 的 此 审 计 迹 默 认 值 为 TRUE RP_TRAIL_LOG_SIZE 指 定 压 缩 和 归 档 rptrail.log 的 阈 值 大 小 RP_TRAIL_FILE_NUM 指 定 要 保 留 的 归 档 rptrail 日 志 的 数 量 RP_TRAIL_DIAG 指 定 rptrail 消 息 是 否 应 该 包 含 其 他 诊 断 信 息 默 认 值 为 FALSE 磁 带 库 卷 统 计 信 息 记 录 所 有 影 响 磁 带 库 中 的 卷 ( 磁 带 ) 的 事 件, 包 括 审 计 或 磁 带 恢 复 何 时 挂 载 卸 载 移 动 装 入 弹 出 或 发 现 卷 如 果 启 用 磁 带 库 卷 统 计 信 息, 则 acsss_stats.log 中 将 记 录 此 信 息 磁 带 库 卷 统 计 信 息 由 以 下 变 量 进 行 管 理 : LIB_VOL_STATS 启 用 此 磁 带 库 卷 统 计 信 息 默 认 值 为 OFF VOL_STATS_FILE_NUM 指 定 要 保 留 的 归 档 acsss_stats.log 文 件 的 数 量 VOL_STATS_FILE_SIZE 指 定 归 档 acsss_stats.log 的 阈 值 大 小 第 3 章 安 全 功 能 21

配 置 和 使 用 Solaris 审 计 日 志 ACSLS 日 志 /sslm 目 录 在 ACSLS 日 志 目 录 中, 有 关 ACSLS GUI 和 与 逻 辑 磁 带 库 连 接 的 SCSI 客 户 机 接 口 的 信 息 记 录 在 sslm 目 录 中 该 目 录 包 含 指 向 WebLogic 审 计 日 志 的 链 接 sslm 目 录 包 含 以 下 日 志 : slim_event.g#.log[.pp#] 该 日 志 记 录 ACSLS GUI 和 SCSI 客 户 机 接 口 的 事 件 其 中 包 括 逻 辑 磁 带 库 配 置 更 改 和 SCSI 客 户 机 事 件 的 消 息.g# 是 该 日 志 的 生 成 号.pp# 是 该 日 志 的 并 行 进 程 号 如 果 同 时 记 录 多 个 进 程, 则 将 向 其 他 进 程 的 日 志 分 配 一 个 并 行 进 程 号 smce_trace.log 该 日 志 使 用 SCSI 介 质 转 换 器 接 口 仿 真 跟 踪 从 SCSI 客 户 机 到 ACSLS 逻 辑 磁 带 库 的 活 动 guiaccess.log 这 是 指 向 WebLogic 的 access.log 的 链 接 请 参 见 配 置 和 使 用 WebLogic 审 计 日 志 AcslsDomain.log 这 是 指 向 WebLogic 的 AcslsDomain.log 的 链 接 请 参 见 配 置 和 使 用 WebLogic 审 计 日 志 AdminServer.log 这 是 指 向 WebLogic 的 AdminServer.log 的 链 接 请 参 见 配 置 和 使 用 WebLogic 审 计 日 志 从 GUI 日 志 查 看 器 中 查 看 ACSLS 审 计 迹 从 GUI 导 航 树 的 "Configuration and Administration" 部 分 访 问 日 志 查 看 器 日 志 查 看 器 将 显 示 acsss_event.log 和 smce_trace.log 中 的 组 合 信 息 从 GUI 中 查 看 系 统 事 件 还 可 以 从 GUI 导 航 树 的 "Configuration and Administration" 部 分 查 看 系 统 事 件 系 统 事 件 日 志 中 将 记 录 每 个 独 立 的 磁 带 库 操 作 该 日 志 中 的 每 条 记 录 都 包 含 事 件 时 间 戳 事 件 类 型 和 事 件 描 述 配 置 和 使 用 Solaris 审 计 日 志 确 定 Solaris 审 计 策 略 Oracle Solaris 管 理 : 安 全 服 务 手 册 中 的 在 Oracle Solaris 中 审 计 部 分 可 帮 助 您 规 划 要 审 计 的 事 件 审 计 日 志 应 保 存 的 位 置 以 及 如 何 查 看 日 志 如 果 尚 未 启 用 定 制 Solaris 审 计 迹, 则 这 些 登 录 的 审 计 迹 以 及 acsss acsdb 和 acssa 用 户 发 出 的 Unix 命 令 都 可 用 : 22

配 置 和 使 用 Linux 审 计 日 志 Unix utmpx 中 将 记 录 当 前 登 录 到 Unix 的 用 户, 而 wtmpx 数 据 库 中 将 记 录 用 户 过 去 的 访 问 情 况 使 用 last 命 令 查 看 对 某 一 用 户 ID 的 所 有 访 问 ( 例 如 last acsss) 有 关 更 多 信 息, 请 参 见 wtmpx last 和 getutxent 的 手 册 页 用 户 主 目 录 中 的.*_history( 即 [ 点 ]*_history) 文 件 记 录 了 该 用 户 发 出 的 命 令 对 于 acsss 用 户, 这 些 文 件 可 能 包 括 :.bash_history.psql_history.sh_history Solaris /var/adm/sulog 上 记 录 了 执 行 su 并 成 为 超 级 用 户 或 其 他 用 户 的 成 功 和 失 败 尝 试 配 置 和 使 用 Linux 审 计 日 志 有 关 收 集 和 分 析 审 计 日 志 以 及 系 统 日 志 的 详 细 信 息, 请 参 阅 Oracle Linux: Security Guide for Release 6 中 的 "Configuring and Using Auditing" 和 "Configuring and Using System Logging" 部 分 配 置 和 使 用 WebLogic 审 计 日 志 有 关 保 护 WebLogic 服 务 器 以 及 WebLogic 审 计 迹 可 能 性 的 选 项, 请 参 阅 Oracle Fusion Middleware Understanding Security for Oracle WebLogic Server 11g Release 1 (10.3.6) WebLogic 在 以 下 目 录 中 记 录 对 ACSLS GUI 的 访 问 情 况 : /export/home/sslm/acslsdomain/servers/adminserver/logs 该 目 录 包 含 以 下 文 件 : access.log 有 一 些 名 为 access.log##### 的 归 档 版 本 ( 例 如 access.log00001) 该 日 志 提 供 GUI 用 户 活 动 的 详 细 审 计 迹 有 关 登 录, 请 查 找 "AcslsLoginForm" 注 意 : 存 在 指 向 $ACS_HOME/logs/sslm/guiAccess.log 中 的 访 问 日 志 的 链 接 AcslsDomain.log 该 日 志 报 告 WebLogic 和 ACSLS GUI 操 作 注 意 : 存 在 指 向 $ACS_HOME/logs/sslm/AcslsDomain.log 中 的 访 问 日 志 的 链 接 第 3 章 安 全 功 能 23

配 置 和 使 用 WebLogic 审 计 日 志 AdminServer.log 该 日 志 报 告 WebLogic 和 ACSLS GUI 操 作 注 意 : 存 在 指 向 $ACS_HOME/logs/sslm/AdminServer.log 中 的 访 问 日 志 的 链 接 24

4 第 4 章 针 对 开 发 者 的 安 全 注 意 事 项 本 部 分 提 供 的 信 息 有 助 于 开 发 者 开 发 或 支 持 使 用 ACSLS 管 理 Oracle StorageTek 磁 带 库 的 应 用 程 序 在 客 户 机 应 用 程 序 服 务 器 上 启 用 防 火 墙 安 全 功 能 通 过 启 用 防 火 墙 安 全 功 能 来 限 制 用 于 通 信 的 端 口, 并 禁 用 客 户 机 应 用 程 序 服 务 器 上 的 端 口 映 射 器 请 参 见 CSC Developer s Toolkit User s Guide 的 "Appendix B: Firewall-Secure Operation" 第 4 章 针 对 开 发 者 的 安 全 注 意 事 项 25

26

附 录 A 附 录 A. 安 全 部 署 核 对 表 1. 强 制 实 施 密 码 管 理 2. 限 制 网 络 访 问 a. ACSLS 及 其 管 理 的 磁 带 库 应 位 于 企 业 防 火 墙 后 面 b. 启 用 ACSLS 防 火 墙 安 全 选 项 c. 考 虑 对 ACSLS 客 户 机 应 用 程 序 启 用 防 火 墙 安 全 3. 强 化 Solaris 或 Linux 操 作 系 统 4. 应 用 所 有 安 全 修 补 程 序 和 解 决 方 法 5. 如 果 StorageTek ACSLS 中 存 在 漏 洞, 请 联 系 Oracle 服 务 部 门 Oracle 磁 带 库 工 程 部 门 或 客 户 代 表 附 录 A. 安 全 部 署 核 对 表 27

28

附 录 B 附 录 B. 参 考 ACSLS 文 档 ACSLS 文 档 保 存 在 按 ACSLS 发 行 版 组 织 的 库 中 可 以 从 磁 带 存 储 文 档 页 面 访 问 此 文 档 http://www.oracle.com/technetwork/documentation/tape-storagecurr-187744.html#opensyssoft ( 各 个 ACSLS 文 档 库 在 其 URL 中 包 含 版 本 号 因 此, 一 旦 库 进 行 更 新, 指 向 特 定 库 的 链 接 就 会 过 时 )ACSLS 文 档 包 含 以 下 内 容 : ACSLS 安 装 指 南 ACSLS 管 理 员 指 南 ACSLS 产 品 信 息 这 包 括 软 件 和 硬 件 要 求 ACSLS 概 述, 以 及 支 持 的 磁 带 库 磁 带 机 和 介 质 ACSLS 消 息 ( 和 状 态 代 码 ) ACSLS 发 行 说 明 ACSLS-HA Cluster: Installation, Configuration, and Operations ACSLS Interface Reference Manual Oracle Solaris Oracle Solaris 11.2 信 息 库 包 含 确 保 Oracle Solaris 11 操 作 系 统 安 全 有 关 详 细 信 息, 请 参 阅 该 文 档 Oracle Linux Oracle Linux 6 信 息 库 包 含 Oracle Linux 6 Security Guide 有 关 详 细 信 息, 请 参 阅 该 文 档 Oracle WebLogic 适 用 于 WebLogic 10.3.6( 由 ACSLS 8.2 使 用 ) 的 Oracle WebLogic Server 文 档 库 具 有 关 于 安 全 的 部 分 Oracle Fusion Middleware Understanding Security for Oracle WebLogic Server 11g Release 1 (10.3.6) 介 绍 了 有 关 保 护 WebLogic 服 务 器 的 详 细 信 息 附 录 B. 参 考 29

30