安全日志

此可选功能可以将其他安全性添加到日志记录功能中。启用“安全日志”后，可以检测对安全日志进行的未授权更改或篡改。无需特殊编码即可使用此功能。“安全日志”是通过使用系统管理员配置的预注册证书来完成的。此“清单分析和证书”(Manifest Analysis and Certification, MAC) 是为每个日志记录生成和存储的。定期插入的特殊“签名”日志记录代表了写入该点的日志内容签名。两个记录的组合可以确保日志未被篡改。

启用安全日志

步骤

1. 创建一个名为 Logger 的证书，然后将其安装于运行 Access Manager 的部署容器内。有关详细信息，请参阅部署容器文档。

2. 使用 Access Manager 控制台打开“日志记录服务”配置中的“安全日志”，然后保存更改。管理员也可修改“日志记录服务”中其他属性的默认值。

   如果日志目录从默认值 (/var/opt/SUMWam/logs) 进行了更改，则确保将权限设置为 0700。日志记录服务将创建目录（如果不存在），但它会按设置权限为 0755 的情况来创建目录。

   另外，如果指定了与默认目录不同的其他目录，则必须将 Web 容器的 server.policy 文件中的以下参数更改为新的目录：

   permission java.io.FilePermission “/var/opt/SUNWam/logs/*”,”delete,write”

3. 在包含证书数据库密码的 AccessManager-base/SUNWam/config 目录下创建一个文件，然后将其命名为 .wtpass。

   ---

   注 –

   可在 AMConfig.properties 文件中配置其文件名和路径。有关详细信息，请参阅附录 A，AMConfig.properties 文件中的“证书数据库”。

   出于安全考虑，应确保部署容器用户是唯一拥有读取该文件权限的管理员。

   ---

4. 重新启动服务器。

   由于某些可导致误解的验证错误在安全日志启动时可能会被写入 /var/opt/SUNWam/debug/amLog 文件，因此应清空安全日志目录。

   要检测未授权的更改或安全日志篡改，请查找由验证操作写入 /var/opt/SUNWam/debug/amLog 的错误信息。要手动检查篡改，请运行 VerifyArchive 实用程序。有关详细信息，请参阅第 19 章，VerifyArchive 命令行工具。