您需要采取各种安全措施,同时使用某些Unix属性,文件或服务,保护密码文件和停用BSD远程服务 rlogin 和 remsh .
在Unix平台上,攻击者可以使用字典攻击程序来发现存储在Unix操作系统中的密码信息.您可以将密码存储在影子密码文件中,只有root用户才能访问此文件以提高系统的安全性.
BSD远程服务允许远程访问Unix系统.当启动远程连接/etc/host.equiv 和 $ HOME/.rhosts 时,如果这些文件包含有关连接的主机名和IP地址的信息源或任何通配符,登录时无需输入密码.
远程服务rlogin和remsh是此方案中的安全威胁,您需要停用这些服务.您可以通过转到Unix系统中的 inetd.conf 文件来停用这些服务.
在Unix系统中,rlogin是一个远程shell客户端(如SSH),它设计得快而小.它没有加密,在高安全性环境中可能有一些小缺点,但它可以以非常高的速度运行.服务器和客户端都不会占用大量内存.
在UNIX平台中,网络文件系统用于通过网络从SAP系统访问传输和工作目录.要访问工作目录,身份验证过程涉及网络地址.攻击者可能通过网络文件系统使用IP欺骗获得未经授权的访问.
为了使系统安全,您不应通过网络文件系统分发主目录.应仔细分配对这些目录的写入授权.
您应该为SAP设置以下访问权限UNIX中的系统目录
| SAP Directory | 八进制格式访问权限 | 所有者 | 组 |
|---|---|---|---|
| /sapmnt/< SID>/exe | 775 | < sid> adm | sapsys |
| /sapmnt/< SID>/exe/saposcol | 4755 | root | sapsys |
| /sapmnt/< ; SID>/global | 700 | < sid> adm | sapsys |
| /sapmnt/< SID>/profile | 755 | < sid> adm | sapsys |
| /usr/sap/< SID> | 751 | < sid> adm | sapsys |
| /usr/sa p/< SID>/<实例ID> | 755 | < sid> adm | sapsys |
| /usr/sap/< SID>/< Instance ID>/* | 750 | < sid> adm | sapsys |
| /usr/sap/< SID>/< Instance ID>/sec | 700 | < sid> adm | sapsys |
| /usr/sap/< SID>/SYS | 755 | < sid> adm | sapsys |
| /usr/sap/< SID>/SYS/* | 755 | < sid> adm | sapsys |
| /usr/sap/trans | 775 | < sid> adm | sapsys |
| /usr/sap/trans/* | 770 | < sid> adm | sapsys |
| /usr/sap/trans/.sapconf | 775 | < sid> adm | sapsys |
| << sid> adm>的主目录 | 700 | < sid> adm | sapsys |
| << sid> adm>/* | < sid> adm | sapsys |
