3 Recursos de Segurança

Esta seção descreve os mecanismos de segurança específicos oferecidos pelo ACSLS.

O Modelo de Segurança

Os requisitos de segurança do ACSLS surgem da necessidade de proteger dados: primeiro, da perda acidental e corrupção; e segundo contra tentativas intencionais não autorizadas de acesso ou alteração desses dados. As preocupações secundárias incluem a proteção contra atrasos indevidos de acesso ou uso de dados ou até mesmo contra interferência até a negação do serviço.

Os principais recursos de segurança que oferecem essas proteções são:

• Autenticação – garante que somente indivíduos autorizados tenham acesso ao sistema e aos dados.

• Autorização – fornece controle de acesso aos privilégios e dados do sistema. Baseia-se na autenticação para garantir que indivíduos somente tenham o acesso apropriado.

• Auditoria – permite que os administradores detectem tentativas de violação do mecanismo de autenticação e tentativas ou violações bem-sucedidas do controle de acesso.

Configurando e Usando Autenticação

Os usuários do ACSLS são autenticados pelos Sistemas Operacionais Solaris ou Linux enquanto que os usuários do ACSLS GUI são autenticados pelo WebLogic.

A Autenticação de Usuário do ACSLS pelos Sistemas Operacionais Solaris ou Linux

Os usuários do ACSLS: acsss e acssa devem efetuar login no Solaris ou Linux e serem autenticados pelo sistema operacional antes de poderem usar o cmd_proc ou para o usuário acsss, execute os utilitários e os comandos de configuração do ACSLS. O ID de usuário acsdb também é usado para as operações relacionadas ao banco de dados. Como parte do processo de instalação do ACSLS, os clientes devem definir as senhas para esses IDs na primeira vez que efetuam login. Consulte o ACSLS Installation Guide para obter detalhes.

Autenticação de Usuário do ACSLS GUI pelo WebLogic

Os usuários do ACSLS GUI devem efetuar login e serem autenticados pelo WebLogic. O acsls_admin é criado durante a instalação do ACSLS, e clientes devem definir sua senha. Os clientes podem adicionar outros usuários GUI conforme o desejado com o utilitário userAdmin.sh. Para obter detalhes, consulte o ACSLS Installation Guide e o ACSLS Administrator’s Guide, capítulo ”Utilities” no userAdmin.sh.

Considerações de Auditoria

Considerações gerais de auditoria que se aplicam ao ACSLS são descritas aqui.

Mantendo Gerenciáveis as Informações Auditadas

Apesar do processo de auditoria ter um custo relativamente baixo, limite o número de eventos auditados o máximo possível. Isso minimiza o impacto de desempenho na execução das instruções auditadas e o tamanho da trilha de auditoria, facilitando a análise, a compreensão e o gerenciamento.

Use as seguintes diretrizes ao elaborar uma estratégia de auditoria:

Avalie a finalidade da auditoria

Depois de ter uma clara compreensão das razões da auditoria, você pode traçar uma estratégia de auditoria apropriada e evitar uma auditoria desnecessária.

Auditoria competente

Faça auditoria no número mínimo de demonstrativos, usuários ou objetos necessários para obter as informações-alvo.

Configurando e Usando os Logs de Auditoria ACSLS

O ACSLS possui vários logs de informações que permitem registrar e inspecionar a atividade do ACSLS.

• Você pode exibir a maioria deles usando vi e outros editores. Os Eventos do Sistema só podem ser exibidos usando o ACSLS GUI.

• A maioria desses logs pode ser automaticamente arquivada quando atinge um tamanho definido pelo usuário, e um número de logs especificado pelo cliente será retido. Para evitar que o sistema de arquivos do ACSLS fique cheio, há um limite configurável de número de logs que será retido. Caso queira reter mais desses arquivos de log ou retê-los em outro sistema, você precisará desenvolver seu próprio procedimento para arquivá-los em um local que tenha espaço suficiente.

• O tamanho, número de logs arquivados para reter, e outras características desses arquivos são definidas pelas variáveis dinâmicas e estáticas do ACSLS.

Diretório de Logs do ACSLS

O diretório de logs do ACSLS é controlado pela variável estática LOG_PATH. O padrão é o diretório $ACS_HOME/log. Esse diretório inclui estes logs:

acsss_event.log

Registra as mensagens para eventos de sistema, eventos de biblioteca e erros significativos do ACSLS.

Quando o acsss_event.log atinge um tamanho de limite definido pela variável dinâmica LOG_SIZE, ele é copiado para o event0.log e limpo. Durante o processo de cópia, os logs de evento retidos são copiados nos logs retidos de numeração mais alta e o log retido com a maior numeração é sobreposto. Por exemplo: o event8.log é copiado sobre o event9.log, o evento7.log é copiado sobre o event8.log, …, o event0.log é copiado sobre o event1.log, o acsss_event.log é copiado sobre o event0.log, e o acsss_event.log é limpo. Isso é controlado pelas seguintes variáveis:

• EVENT_FILE_NUMBER especifica o número de logs de evento a serem retidos.

• LOG_SIZE especifica o tamanho limite no qual o log de evento é copiado para um log de evento retido e truncado.

Use o utilitário greplog para filtrar o log acsss_event para incluir ou excluir mensagens que contêm palavras-chave específicas. Consulte greplog no Capítulo ”Utilities” do ACSLS Administrator’s Guide para obter mais detalhes.

Configuration logs

Existem dois logs que gravam detalhes quando o ACSLS atualiza a configuração de biblioteca armazenada no banco de dados do ACSLS. As alterações de configuração no acsss_config e Dynamic Config (o utilitário config) são gravadas aqui.

acsss_config.log

Grava os detalhes de todas as configurações ou reconfigurações da(s) biblioteca(s) que o ACSLS suporta. A última alteração de configuração é adicionada ao registro de configurações anteriores.

acsss_config_event.log

Grava os eventos durante o processo de configuração ou reconfiguração.

rpTrail.log

Grava a resposta de todas as solicitações ao ACSLS feitas por clientes ACSAPI ou cmd_proc, e todas as solicitações de GUI ou Interface de Cliente do SCSI às bibliotecas lógicas exceto para consultas do banco de dados. As informações registradas incluem o solicitante, a solicitação e o registro de hora e dados da solicitação.

rpTrail.log é gerenciado pelas seguintes variáveis:

• LM_RP_TRAIL habilita essa trilha de auditoria de eventos do ACSLS. O padrão é TRUE.

• RP_TRAIL_LOG_SIZE especifica o tamanho limite no qual o rpTrail.log é compactado e arquivado.

• RP_TRAIL_FILE_NUM especifica o número de logs rpTrail arquivados a serem retidos.

• RP_TRAIL_DIAG especifica se as mensagens do rpTrail devem incluir informações de diagnóstico adicionais. O padrão é FALSE.

Estatísticas de Volume da Biblioteca

Grava todos os eventos relacionados a volumes (cartuchos) em uma biblioteca de fitas, incluindo se um volume foi montado, desmontado, movido, informado, ejetado ou localizado pela auditoria ou pelo processo Cartridge Recovery. Se o recurso de Estatísticas de Volume da Biblioteca estiver ativado, essas informações serão registadas no acsss_stats.log.

As Estatísticas de Volume da Biblioteca são gerenciadas pelas seguintes variáveis:

• LIB_VOL_STATS ativa o recurso de Estatísticas de Volume da Biblioteca. O padrão é OFF.

• VOL_STATS_FILE_NUM especifica o número de arquivos acsss_stats.log arquivados a serem retidos.

• VOL_STATS_FILE_SIZE especifica o tamanho limite no qual o acsss_stats.log é arquivado.

Diretório de logs/sslm do ACSLS

No diretório de logs do ACSLS, informações sobre o ACSLS GUI e a Interface Cliente do SCSI das bibliotecas lógicas são registradas no diretório sslm. Esse diretório inclui links para os logs de auditoria do WebLogic. O diretório sslm inclui estes logs:

slim_event.g#.log[.pp#]

Registra os eventos do ACSLS GUI e da interface cliente do SCSI. Inclui mensagens de alterações de configuração da biblioteca lógica e eventos cliente do SCSI.

• O .g# é o número de geração desse log.

• O .pp# é o número do processo paralelo desse log. Se houver vários processos registrados ao mesmo tempo, os logs de processos adicionais receberão um número de processo paralelo.

smce_trace.log

Rastreia a atividade de clientes SCSI para as bibliotecas lógicas do ACSLS usando emulação do SCSI Media Changer Interface.

guiAccess.log

É um link para o access.log do WebLogic. Consulte Configurando e Usando os Logs de Auditoria do WebLogic.

AcslsDomain.log

É um link para o AcslsDomain.log do WebLogic. Consulte Configurando e Usando os Logs de Auditoria do WebLogic.

AdminServer.log

É um link para o AdminServer.log do WebLogic. Consulte Configurando e Usando os Logs de Auditoria do WebLogic.

Exibindo Trilhas de Auditoria do ACSLS no Log Viewer da GUI

Acesse o Log Viewer na seção Configuração e Administração da Árvore de Navegação da GUI. O Log Viewer exibe informações combinadas do acsss_event.log e do smce_trace.log.

Exibir Eventos de Sistema na GUI

Você também pode exibir Eventos de Sistema na seção Configuração e Administração da árvore de navegação da GUI. Toda operação de biblioteca discreta é registrada no log System Events. Cada registro nesse log contém um registro de hora e data, um tipo de evento e uma descrição do evento.

Configurando e Usando os Logs de Auditoria do Solaris

Determine sua política de auditoria do Solaris. A seção Oracle Solaris Auditing do manual Oracle System Administration: Security Services pode ajudar a planejar quais eventos serão auditados, onde os logs de auditoria serão salvos e como você deseja revisá-los.

Se você tiver ativado trilhas de auditoria personalizadas do Solaris, estas trilhas de auditoria de logins e comandos do Unix executados pelos usuários acsss, acsdb e acssa estarão disponíveis:

• Os usuários que estão atualmente conectados no Unix são registrados no Unix utmpx e o acesso de usuários anteriores é registrado no banco de dados wtmpx.

• Use o comando last para ver todos os acessos de um ID de usuário (por exemplo last acsss). Para obter mais informações consulte as páginas man para: wtmpx, last e getutxent.

• Os arquivos .*_history ([dot]*_history) em um registro do diretório home do usuário registra os comando executados por esse usuário.

  Para o usuário acsss estão incluídos:

  • .bash_history

  • .psql_history

  • .sh_history

  No Solaris /var/adm/sulog registra tentativas bem-sucedidas e mal-sucedidas de executar o su e de se tornar superusuário ou outro usuário.

Configurando e Usando os Logs de Auditoria do Linux

Consulte as seções Configurando e Usando Auditoria e Configurando e Usando o Recurso de Log do Sistema no Oracle Linux: Security Guide for Release 6 para obter detalhes sobre como coletar e analisar logs de auditoria e sistema.

Configurando e Usando os Logs de Auditoria do WebLogic

Consulte o Oracle Fusion Middleware Securing Oracle WebLogic Server 11g Release 1 (10.3.5) para ver as opções de como proteger um servidor do WebLogic e as possibilidades de trilha de auditoria com o WebLogic.

O WebLogic registra os acessos ao ACSLS GUI no seguinte diretório:

/export/home/SSLM/AcslsDomain/servers/AdminServer/logs

Esse diretório inclui os seguintes arquivos:

• access.log

  • Existem versões arquivadas denominadas access.log##### (por exemplo access.log00001)

  • Fornece uma trilha de auditoria detalhada de uma atividade de usuário da GUI.

  • Para logins procure por ”AcslsLoginForm”.

    
    

    Nota: Existe um link para o log de acesso no: $ACS_HOME/logs/sslm/guiAccess.log.

    
    

• AcslsDomain.log

  • Relaciona operações do WebLogic e do ACSLS GUI.

    
    

    Nota: Existe um link para o log de acesso no: $ACS_HOME/logs/sslm/AcslsDomain.log.

    
    

• AdminServer.log

  • Relaciona operações do WebLogic e do ACSLS GUI.

    
    

    Nota: Existe um link para o log de acesso no: $ACS_HOME/logs/sslm/AdminServer.log.