本節描述 ACSLS 提供的特定安全機制。
為了因應保護資料的需要,ACSLS 安全需求應運而生,其主要目的在於:第一,避免意外失去和損毀資料。第二,保護資料不受未經授權的存取或更改。其他關注的焦點包括避免存取或使用資料時不必要的延遲,或避免遭受拒絕服務的干擾。
提供這些保護的重要安全功能包括:
認證 – 確保只有經過授權的個人才能夠存取系統和資料。
授權 – 提供對系統權限和資料的存取控制。此功能的基礎建立在認證上,可確保個人只能得到適當的存取權。
稽核 – 可讓管理員偵測到違反認證機制的嘗試,以及違反或成功的存取控制嘗試。
在 Linux 或 Solaris 上預設會使用 PAM (可插式認證模組) 來認證 ACSLS 使用者。請參閱 Solaris 線上手冊,或 Linux-PAM System Administrators Guide。
在 WebLogic 中,會使用內嵌的 LDAP 伺服器來認證 ACSLS GUI 使用者。請參閱文件 Managing the Embedded LDAP Server,網址為:
http://docs.oracle.com/cd/E13222_01/wls/docs81/secmanage/ldap.html
ACSLS 具有數種資訊的日誌,可讓您記錄與檢查 ACSLS 活動。
您可以使用 vi 或其他編輯程式來檢視大部分的記錄。「系統事件」只能使用 ACSLS GUI 來檢視。
大多數的日誌都可以在達到客戶定義的大小、客戶指定的保留日誌數目時自動歸檔。為了避免塞滿 ACSLS 檔案系統,可以配置限制保留的日誌數目。如果您想要保留較多的日誌檔,或是將它們保留在其他系統上,您必須開發自己的程序來將它們歸檔在足夠空間的位置。
要保留之歸檔日誌的大小、數目以及這些檔案的其他特性,都是使用 ACSLS 動態和靜態變數來定義。
ACSLS 日誌目錄是由 LOG_PATH 靜態變數所控制。預設為 $ACS_HOME/log 目錄。此目錄包含下列日誌:
記錄了重大的 ACSLS 系統事件、磁帶櫃事件以及錯誤的訊息。
當 acsss_event.log 達到 LOG_SIZE 動態變數所定義的臨界大小時,就會複製到 event0.log 並清除。在複製處理作業期間,保留事件日誌會複製到較高編號的保留日誌中,而最高編號的保留日誌會被覆蓋。例如:event8.log 會複製到 event9.log 上,event7.log 會複製到 event8.log 上 ...,event0.log 會複製到 event1.log 上,acsss_event.log 會複製到 event0.log 上,而 acsss_event.log 則會被清除。這是由下列變數所控制:
EVENT_FILE_NUMBER 指定保留的事件日誌數目。
LOG_SIZE 指定事件日誌要複製到保留事件日誌並截斷的臨界大小。
使用 greplog 公用程式可篩選 acsss_event 日誌,以包括或排除包含特定關鍵字的訊息。請參閱 ACSLS Administrator’s Guide 之 ”Utilities” 章節中的 greplog,以瞭解詳細資訊。
當 ACSLS 更新 ACSLS 資料庫中儲存的磁帶櫃組態時,會有兩個記錄詳細資訊的日誌。acsss_config 和 Dynamic Config (config 公用程式) 的配置變更會記錄在此。
記錄 ACSLS 支援之磁帶櫃的所有配置或重新配置詳細資訊。最新的配置變更會附加至先前的配置記錄。
記錄配置或重新配置處理作業期間的事件。
記錄 ACSAPI 用戶端或 cmd_proc 對 ACSLS 之所有要求的回應,以及對 GUI 或邏輯磁帶櫃 SCSI 用戶端介面的所有要求 (資料庫查詢除外) 的回應。記錄的資訊包括要求者、要求以及要求的時戳。
rpTrail.log 受到下列變數的管理:
LM_RP_TRAIL 啟用此 ACSLS 事件稽核歷程檔。預設為 TRUE。
RP_TRAIL_LOG_SIZE 指定要將 rpTrail.log 壓縮並歸檔的臨界大小。
RP_TRAIL_FILE_NUM 指定要保留之歸檔 rpTrail 日誌的數目。
RP_TRAIL_DIAG 指定 rpTrail 訊息是否應包括其他診斷資訊。預設為 FALSE。
記錄影響磁帶櫃中的磁碟區 (磁帶匣) 的所有事件,包括掛載、卸載、移動、送入、退出磁碟區的時間,或是被稽核或磁帶匣復原發現的時間。如果啟用「磁帶櫃磁碟區統計資料」,此資訊會記錄在 acsss_stats.log 中。
「磁帶櫃磁碟區統計資料」受到下列變數的管理:
LIB_VOL_STATS 啟用「磁帶櫃磁碟區統計資料」。預設為 OFF。
VOL_STATS_FILE_NUM 指定要保留之歸檔 acsss_stats.log files 的數目。
VOL_STATS_FILE_SIZE 指定要歸檔 acsss_stats.log 的臨界大小。
在 ACSLS 日誌目錄中,關於 ACSLS GUI 和邏輯磁帶櫃 SCSI 用戶端介面的資訊會記錄在 sslm 目錄中。此目錄包含 WebLogic 稽核日誌的連結。sslm 目錄包含下列日誌:
記錄 ACSLS GUI 和 SCSI 用戶端介面的事件。包括邏輯磁帶櫃配置變更的訊息,以及 SCSI 用戶端事件。
.g# 是此日誌的世代編號。
.pp# 是此日誌的平行處理編號。如果同時記錄了多個處理作業,其他處理作業的日誌就會被指派平行處理編號。
追蹤使用 SCSI Media Changer Interface 模擬從 SCSI 用戶端至 ACSLS 邏輯磁帶櫃的活動。
這是 WebLogic 之 access.log 的連結。請參閱配置與使用 WebLogic 稽核日誌。
這是 WebLogic 之 AcslsDomain.log 的連結。請參閱配置與使用 WebLogic 稽核日誌。
這是 WebLogic 之 AdminServer.log 的連結。請參閱配置與使用 WebLogic 稽核日誌。
從 GUI 導覽樹狀結構的「配置 (Configuration)」和「管理 (Administration)」區段存取日誌檢視器。日誌檢視器可顯示從 acsss_event.log 和 smce_trace.log 結合的資訊。
判斷您的 Solaris 稽核原則。Oracle System Administration: Security Services 手冊中的 Oracle Solaris Auditing 小節可協助您規劃要稽核的事件、應儲存稽核日誌的位置以及複查稽核日誌的方式。
如果您尚未啟用自訂 Solaris 稽核歷程檔,則可使用 acsss、acsdb 及 acssa 使用者發出之登入指令和 Unix 指令的稽核歷程檔:
目前登入 Unix 的使用者會記錄在 Unix utmpx,而過去的使用者存取會記錄在 wtmpx 資料庫中。
使用 last 指令即可查看對某使用者 ID 的所有存取 (例如 last acsss)。如需詳細資訊,請參閱下列指令的線上手冊:wtmpx、last 及 getutxent。
使用者主目錄中的 .*_history (亦即 [點]*_history) 檔案記錄該使用者所發出的指令。
對於 acsss 使用者而言,可能包括:
.bash_history
.psql_history
.sh_history
在 Solaris 上,/var/adm/sulog 會記錄執行 su 並成為超級使用者或其他使用者的成功或失敗嘗試。
請參閱 Oracle Linux: Security Guide for Release 6 中的 Configuring and Using Auditing and Configuring and Using System Logging 小節,瞭解關於收集與分析稽核和系統日誌的詳細資訊。
請參閱 Oracle Fusion Middleware; Understanding Security for Oracle WebLogic Server 11g Release 1 (10.3.6),瞭解保護 WebLogic 伺服器的選項,以及可能隨 WebLogic 產生的稽核歷程檔。
WebLogic 在下列目錄中記錄對 ACSLS GUI 的存取:
/export/home/SSLM/AcslsDomain/servers/AdminServer/logs
此目錄包含下列檔案:
access.log
歸檔的版本命名為 access.log##### (例如 access.log00001)
此檔案提供 GUI 使用者活動的詳細稽核歷程檔。
若是用於登入,看起來會像是 ”AcslsLoginForm”。
注意:
右列檔案中會有一個存取日誌的連結:$ACS_HOME/logs/sslm/guiAccess.log。AcslsDomain.log
此檔案報告 WebLogic 和 ACSLS GUI 作業。
注意:
右列檔案中會有一個存取日誌的連結:$ACS_HOME/logs/sslm/AcslsDomain.log。AdminServer.log
此檔案報告 WebLogic 和 ACSLS GUI 作業。
注意:
右列檔案中會有一個存取日誌的連結:$ACS_HOME/logs/sslm/AdminServer.log。