安全記錄

此選擇性的功能可將額外安全性加入記錄功能中。啟用「安全記錄」後，可以偵測對安全記錄進行的未授權變更或竄改。使用此功能不需用特殊編碼。「安全記錄」是藉由使用由系統管理員配置的預先註冊憑證來達成。會為每個記錄檔記錄產生和儲存此「清單分析和憑證 (MAC)」。會定期插入特定「簽名」記錄檔記錄，表示寫入該點之記錄內容的簽名。兩種記錄的組合可確保記錄沒有被竄改。

啟用安全記錄

步驟

1. 以 Logger 名稱建立憑證，然後將其安裝在執行 Access Manager 的部署容器中。詳細資訊請參閱部署容器的文件。

2. 在 Access Manager 主控台中，開啟 [記錄服務] 配置中的 [安全記錄]，並儲存此變更。管理員亦可修改 [記錄服務] 中其他屬性的預設值。

   若記錄目錄預設值 (/var/opt/SUMWam/logs) 有所變更，請確定將其權限設為 0700。若此目錄不存在，記錄服務會建立此目錄，但它會建立權限設為 0755 的目錄。

   此外，若您指定和預設不同的目錄，必須變更以下參數至新目錄中 Web 容器的 server.policy 檔：

   permission java.io.FilePermission “/var/opt/SUNWam/logs/*”,”delete,write”

3. 在包含憑證資料庫密碼的 AccessManager-base/SUNWam/config 目錄中建立檔案，並將之命名為 .wtpass。

   ---

   備註 –

   其檔名和路徑可在 AMConfig.properties 檔中配置。如需更多資訊，請參閱附錄 AAMConfig.properties 檔案中的「憑證資料庫」。

   請確定部署容器使用者為因安全性理由對此檔案有讀取權限的管理員。

   ---

4. 重新啟動伺服器。

   應清除安全記錄目錄，因為當啟動安全記錄時，部份易引起誤解的驗證錯誤可能會被寫入 /var/opt/SUNWam/debug/amLog 檔案。

   若要偵測安全記錄中有無未認證的變更或竄改， 請查看驗證程序寫入 /var/opt/SUNWam/debug/amLog 的錯誤訊息。若要手動檢查竄改，請執行 VerifyArchive 公用程式。如需更多資訊，請參閱第 19 章, VerifyArchive 指令行工具。