Sécurité SAP - Plateforme Unix
Vous devez prendre diverses mesures de sécurité lors de l'utilisation de certaines propriétés, fichiers ou services Unix, de la protection des fichiers de mots de passe et de la désactivation des services à distance BSD pour rlogin et remsh.
Mot de passe de protection
Dans une plate-forme Unix, un attaquant peut utiliser un programme d'attaque par dictionnaire pour découvrir les informations de mot de passe stockées dans le système d'exploitation Unix. Vous pouvez stocker les mots de passe dans un fichier de mots de passe cachés et seul un utilisateur root peut avoir accès à ce fichier pour améliorer la sécurité dans un système.
Désactivation des services à distance
Les services BSD Remote permettent un accès à distance aux systèmes Unix. Lorsqu'une connexion à distance est initiée/etc/host.equiv et $HOME/.rhosts sont utilisés et dans le cas où ces fichiers contiennent des informations sur le nom d'hôte et l'adresse IP de la source de connexion ou des caractères génériques, il n'est pas nécessaire de saisir le mot de passe lors de la connexion.
Les services distants rlogin et remsh constituent une menace pour la sécurité dans ce scénario et vous devez désactiver ces services. Vous pouvez désactiver ces services en accédant àinetd.conf fichier dans le système Unix.
Dans un système Unix, rlogin est un client shell distant (comme SSH), qui est conçu pour être rapide et petit. Il n'est pas crypté, ce qui peut avoir quelques petits inconvénients dans les environnements de haute sécurité, mais il peut fonctionner à des vitesses très élevées. Le serveur et le client n'utilisent pas beaucoup de mémoire.
Sécurisation du système de fichiers réseau sous UNIX
Dans une plate-forme UNIX, un système de fichiers réseau est utilisé pour accéder aux répertoires de transport et de travail sur le réseau à partir d'un système SAP. Pour accéder aux répertoires de travail, le processus d'authentification implique des adresses réseau. Il est possible qu'un accès non autorisé puisse être obtenu par des attaquants sur le système de fichiers réseau en utilisant l'usurpation d'adresse IP.
Pour sécuriser le système, vous ne devez pas distribuer de répertoire personnel sur le système de fichiers réseau et l'autorisation d'écriture sur ces répertoires doit être soigneusement attribuée.
Accès au répertoire système SAP pour le système SAP sous UNIX
Vous devez définir les droits d'accès suivants pour les répertoires système SAP sous UNIX -
| Annuaire SAP | Privilège d'accès de la forme octale | Propriétaire | Groupe |
|---|---|---|---|
| / sapmnt / <SID> / exe | 775 | <sid> adm | sapsys |
| / sapmnt / <SID> / exe / saposcol | 4755 | racine | sapsys |
| / sapmnt / <SID> / global | 700 | <sid> adm | sapsys |
| / sapmnt / <SID> / profile | 755 | <sid> adm | sapsys |
| / usr / sap / <SID> | 751 | <sid> adm | sapsys |
| / usr / sap / <SID> / <ID d'instance> | 755 | <sid> adm | sapsys |
| / usr / sap / <SID> / <ID d'instance> / * | 750 | <sid> adm | sapsys |
| / usr / sap / <SID> / <ID d'instance> / s | 700 | <sid> adm | sapsys |
| / usr / sap / <SID> / SYS | 755 | <sid> adm | sapsys |
| / usr / sap / <SID> / SYS / * | 755 | <sid> adm | sapsys |
| / usr / sap / trans | 775 | <sid> adm | sapsys |
| / usr / sap / trans / * | 770 | <sid> adm | sapsys |
| /usr/sap/trans/.sapconf | 775 | <sid> adm | sapsys |
| <répertoire personnel de <sid> adm> | 700 | <sid> adm | sapsys |
| <répertoire personnel de <sid> adm> / * | 700 | <sid> adm | sapsys |