本部分介绍了 ACSLS 提供的具体安全机制。
ACSLS 安全要求来源于保护数据的需要:第一,防止数据意外丢失和损坏,第二,防止未经授权蓄意访问或修改数据。第二项关注内容包括防止访问或使用数据时的过度延迟,甚至是避免来自拒绝服务的干扰。
提供这些保护的关键安全功能包括:
验证-确保只有经过授权才能访问系统和数据。
授权-提供对系统特权和数据的访问控制。授权基于验证,可确保个人仅能获取相应的访问权限。
审计-允许管理员检测尝试进行的验证机制违规行为以及尝试进行的或成功进行的访问控制违规行为。
默认情况下,在 Linux 或 Solaris 上,ACSLS 用户由 PAM(Pluggable Authentication Module,可插拔验证模块)进行验证。请参阅 Solaris 手册页或《Linux-PAM System Administrators Guide》。
ACSLS GUI 的用户由 WebLogic 中的嵌入式 LDAP 服务器进行验证。请参阅文档《Managing the Embedded LDAP Server》:
http://docs.oracle.com/cd/E13222_01/wls/docs81/secmanage/ldap.html
ACSLS 具有多个信息日志,允许您记录和检查 ACSLS 活动。
您可以使用 vi 和其他编辑器查看大多数日志。系统事件只能通过使用 ACSLS GUI 进行查看。
这些日志中的大多数日志在达到客户定义的大小后可以自动归档,客户指定数量的日志将被保留。为避免填满 ACSLS 文件系统,将限制保留的日志数量,可对该限制进行配置。如果要保留更多的日志文件或将其保留在其他系统上,则需要开发自己的程序,将其归档到某个有足够空间的位置。
要保留的归档日志的大小、数量和这些文件的其他特性可由 ACSLS 动态和静态变量进行定义。
ACSLS 日志目录由 LOG_PATH 静态变量进行控制。默认目录为 $ACS_HOME/log。该目录包含以下日志:
该日志记录了重要的 ACSLS 系统事件、磁带库事件和错误的消息。
当 acsss_event.log 达到 LOG_SIZE 动态变量定义的阈值大小后,系统会将其复制到 event0.log 并清除。在复制过程中,保留的事件日志会被复制到编号更高的保留日志中,编号最高的保留日志将被覆盖。例如:event8.log 被复制到 event9.log,event7.log 被复制到 event8.log,…,event0.log 被复制到 event1.log,acsss_event.log 被复制到 event0.log,然后 acsss_event.log 被清除。这一操作由以下变量控制:
EVENT_FILE_NUMBER 指定要保留的事件日志数量。
LOG_SIZE 指定阈值大小,事件日志一旦达到此阈值就会被复制到保留事件日志并被截断。
使用 greplog 实用程序过滤 acsss_event 日志以包括或排除包含特定关键字的消息。有关更多详细信息,请参见《ACSLS 管理员指南》的“实用程序”一章中的 greplog。
当 ACSLS 更新存储在 ACSLS 数据库中的磁带库配置时,有两个日志记录了详细信息。acsss_config 和 Dynamic Config(config 实用程序)的配置更改会记录在以下位置。
记录 ACSLS 支持的磁带库的所有配置或重新配置详细信息。最后的配置更改附加在先前的配置记录后面。
记录在配置和重新配置期间发生的事件。
记录 ACSAPI 客户机或 cmd_proc 对 ACSLS 的所有请求的响应,以及记录对 GUI 或与逻辑磁带库连接的 SCSI 客户机接口的所有请求(数据库查询除外)的响应。记录的信息包括请求者、请求和请求时间戳。
rpTrail.log 由以下变量进行管理:
LM_RP_TRAIL 启用 ACSLS 事件的此审计迹。默认值为 TRUE。
RP_TRAIL_LOG_SIZE 指定压缩和归档 rpTrail.log 的阈值大小。
RP_TRAIL_FILE_NUM 指定要保留的归档 rpTrail 日志的数量。
RP_TRAIL_DIAG 指定 rpTrail 消息是否应该包含其他诊断信息。默认值为 FALSE。
记录所有影响磁带库中的卷(磁带)的事件,包括审计或磁带恢复何时挂载、卸载、移动、装入、弹出或发现卷。如果启用磁带库卷统计信息,则 acsss_stats.log 中将记录此信息。
磁带库卷统计信息由以下变量进行管理:
LIB_VOL_STATS 启用此磁带库卷统计信息。默认值为 OFF。
VOL_STATS_FILE_NUM 指定要保留的归档 acsss_stats.log 文件的数量。
VOL_STATS_FILE_SIZE 指定归档 acsss_stats.log 的阈值大小。
在 ACSLS 日志目录中,有关 ACSLS GUI 和与逻辑磁带库连接的 SCSI 客户机接口的信息记录在 sslm 目录中。该目录包含指向 WebLogic 审计日志的链接。sslm 目录包含以下日志:
该日志记录 ACSLS GUI 和 SCSI 客户机接口的事件。其中包括逻辑磁带库配置更改和 SCSI 客户机事件的消息。
.g# 是该日志的生成号。
.pp# 是该日志的并行进程号。如果同时记录多个进程,则将向其他进程的日志分配一个并行进程号。
该日志使用 SCSI 介质转换器接口仿真跟踪从 SCSI 客户机到 ACSLS 逻辑磁带库的活动。
这是指向 WebLogic 的 access.log 的链接。请参见配置和使用 WebLogic 审计日志。
这是指向 WebLogic 的 AcslsDomain.log 的链接。请参见配置和使用 WebLogic 审计日志。
这是指向 WebLogic 的 AdminServer.log 的链接。请参见配置和使用 WebLogic 审计日志。
从 GUI 导航树的 "Configuration and Administration" 部分访问日志查看器。日志查看器将显示 acsss_event.log 和 smce_trace.log 中的组合信息。
确定 Solaris 审计策略。《Oracle Solaris 管理:安全服务》手册中的“在 Oracle Solaris 中审计”部分可帮助您规划要审计的事件、审计日志应保存的位置以及如何查看日志。
如果尚未启用定制 Solaris 审计迹,则这些登录的审计迹以及 acsss、acsdb 和 acssa 用户发出的 Unix 命令都可用:
Unix utmpx 中将记录当前登录到 Unix 的用户,而 wtmpx 数据库中将记录用户过去的访问情况。
使用 last 命令查看对某一用户 ID 的所有访问(例如 last acsss)。有关更多信息,请参见 wtmpx、last 和 getutxent 的手册页。
用户主目录中的 .*_history(即 [点]*_history)文件记录了该用户发出的命令。
对于 acsss 用户,这些文件可能包括:
.bash_history
.psql_history
.sh_history
Solaris /var/adm/sulog 上记录了执行 su 并成为超级用户或其他用户的成功和失败尝试。
有关收集和分析审计日志以及系统日志的详细信息,请参阅《Oracle Linux: Security Guide for Release 6》中的 "Configuring and Using Auditing" 和 "Configuring and Using System Logging" 部分。
有关保护 WebLogic 服务器以及 WebLogic 审计迹可能性的选项,请参阅《Oracle Fusion Middleware Understanding Security for Oracle WebLogic Server 11g Release 1 (10.3.6)》。
WebLogic 在以下目录中记录对 ACSLS GUI 的访问情况:
/export/home/SSLM/AcslsDomain/servers/AdminServer/logs
该目录包含以下文件:
access.log
有一些名为 access.log##### 的归档版本(例如 access.log00001)
该日志提供 GUI 用户活动的详细审计迹。
有关登录,请查找 "AcslsLoginForm"。
注意:
存在指向 $ACS_HOME/logs/sslm/guiAccess.log 中的访问日志的链接。AcslsDomain.log
该日志报告 WebLogic 和 ACSLS GUI 操作。
注意:
存在指向 $ACS_HOME/logs/sslm/AcslsDomain.log 中的访问日志的链接。AdminServer.log
该日志报告 WebLogic 和 ACSLS GUI 操作。
注意:
存在指向 $ACS_HOME/logs/sslm/AdminServer.log 中的访问日志的链接。