이 절에서는 ACSLS에서 제공하는 구체적인 보안 메커니즘을 설명합니다.
ACSLS 보안 요구 사항은 첫째 우발적 손실 및 손상으로부터 데이터를 보호하고, 둘째 허용되지 않은 고의적인 데이터 액세스나 개조 시도로부터 데이터를 보호할 필요성에서 기인합니다. 부수적 고려 사항은 데이터 액세스나 사용 시 과도한 지연으로부터 보호하거나, 서비스 거부라고 생각될 정도의 간섭으로부터 보호하는 것입니다.
이러한 보호를 제공하는 중요 보안 기능은 다음과 같습니다.
인증 – 권한이 부여된 개인만 시스템 및 데이터에 액세스할 수 있도록 합니다.
권한 부여 – 시스템 권한 및 데이터에 대한 액세스 제어를 제공합니다. 이것은 개인이 적절한 액세스 권한을 얻도록 하는 인증에 기초합니다.
감사 – 관리자가 인증 메커니즘 침해 시도와 액세스 제어 침해 시도나 성공을 감지할 수 있습니다.
기본적으로 Linux 또는 Solaris에서 ACSLS 사용자는 PAM(플러그 가능한 인증 모듈)을 통해 인증됩니다. Solaris 매뉴얼 페이지 또는 Linux-PAM System Administrators Guide를 참조하십시오.
ACSLS GUI 사용자는 WebLogic의 포함된 LDAP 서버를 통해 인증됩니다. Managing the Embedded LDAP Server 문서를 참조하십시오.
http://docs.oracle.com/cd/E13222_01/wls/docs81/secmanage/ldap.html
ACSLS 사용자 acsss 및 acssa는 Solaris 또는 Linux에 로그인하여 운영체제에 의해 인증되어야 cmd_proc를 사용할 수 있으며, acsss 사용자의 경우 ACSLS 유틸리티 및 구성 명령을 실행할 수 있습니다. acsdb 사용자 ID는 데이터베이스 관련 작업에도 사용됩니다. ACSLS 설치 프로세스의 일부로 고객은 처음 로그인할 때 이러한 ID에 대한 암호를 설정해야 합니다. 자세한 내용은 ACSLS Installation Guide를 참조하십시오.
ACSLS에는 ACSLS 작동을 기록하고 점검할 수 있는 여러 가지 로그 정보가 있습니다.
대부분 vi 및 기타 편집기를 사용하여 볼 수 있습니다. 시스템 이벤트는 ACSLS GUI에서만 볼 수 있습니다.
이러한 로그의 대부분은 고객이 정의한 크기에 도달할 때 자동으로 아카이브할 수 있으며, 고객이 지정한 로그 개수가 보존됩니다. ACSLS 파일 시스템이 가득 차지 않도록 보존할 로그 개수에 대한 제한을 구성할 수 있습니다. 이러한 로그 파일을 더 많이 보존하거나 다른 시스템에 보존하려면 자체 절차를 개발하여 충분한 공간이 있는 위치에 아카이브해야 합니다.
아카이브된 로그의 크기, 보존할 개수와 이러한 파일의 기타 특성은 ACSLS 동적/정적 변수로 정의할 수 있습니다.
ACSLS 로그 디렉토리는 LOG_PATH 정적 변수로 제어할 수 있습니다. 기본값은 $ACS_HOME/log 디렉토리입니다. 이 디렉토리는 다음 로그를 포함합니다.
중요한 ACSLS 시스템 이벤트, 라이브러리 이벤트 및 오류에 관한 메시지를 기록합니다.
acsss_event.log는 LOG_SIZE 동적 변수로 정의된 임계값 크기에 도달할 때 event0.log로 복사된 후 지워집니다. 복사 프로세스 동안 보존된 이벤트 로그는 더 높은 숫자의 보존된 로그로 복사되고 가장 높은 숫자의 보존된 로그가 포개집니다. 예를 들어, event8.log가 event9.log로 복사되고, event7.log가 event8.log로 복사되고, …, event0.log가 event1.log로 복사되고, acsss_event.log가 event0.log로 복사되고, acsss_event.log가 지워집니다. 다음 변수로 제어할 수 있습니다.
EVENT_FILE_NUMBER는 보존할 이벤트 로그의 개수를 지정합니다.
LOG_SIZE는 이벤트 로그가 보존된 이벤트 로그로 복사되고 잘리는 지점의 임계값 크기를 지정합니다.
greplog 유틸리티를 사용하여 특정 키워드가 포함된 메시지를 포함하거나 제외하도록 acsss_event 로그를 필터링할 수 있습니다. 자세한 내용은 ACSLS Administrator’s Guide의 "Utilities" 장, greplog 절을 참조하십시오.
ACSLS가 ACSLS 데이터베이스에 저장된 라이브러리 구성을 업데이트할 때 세부정보를 기록하는 두 개의 로그가 있습니다. acsss_config 및 Dynamic Config(config 유틸리티)의 구성 변경 사항이 여기에 기록됩니다.
ACSLS가 지원하는 라이브러리의 모든 구성이나 재구성 세부정보를 기록합니다. 마지막 구성 변경은 이전 구성 레코드에 첨부됩니다.
구성이나 재구성 프로세스 동안 이벤트를 기록합니다.
ACSAPI 클라이언트나 cmd_proc에서 ACSLS로 향하는 모든 요청에 대한 응답을 기록하고, GUI 또는 SCSI 클라이언트 인터페이스에서 데이터베이스 질의를 제외한 논리적 라이브러리로 향하는 모든 요청을 기록합니다. 기록된 정보에는 요청자, 요청 내용, 요청 시간 기록이 포함됩니다.
다음 변수로 rpTrail.log가 관리됩니다.
LM_RP_TRAIL은 ACSLS 이벤트 감사 추적을 사용으로 설정합니다. 기본값은 TRUE입니다.
RP_TRAIL_LOG_SIZE는 rpTrail.log가 압축되고 아카이브되는 지점의 임계값 크기를 지정합니다.
RP_TRAIL_FILE_NUM은 아카이브된 rpTrail 로그의 보존할 개수를 지정합니다.
RP_TRAIL_DIAG는 rpTrail 메시지에 추가 진단 정보를 포함해야 하는지 여부를 지정합니다. 기본값은 FALSE입니다.
테이프 라이브러리에서 볼륨(카트리지)을 마운트/마운트 해제하고 이동하고 넣고 꺼내거나 감사나 카트리지 복구로 볼륨을 찾을 때 볼륨에 영향을 주는 모든 이벤트를 기록합니다. 라이브러리 볼륨 통계가 사용으로 설정된 경우 이 정보는 acsss_stats.log에 기록됩니다.
다음 변수로 라이브러리 볼륨 통계가 관리됩니다.
LIB_VOL_STATS는 이 라이브러리 볼륨 통계를 사용으로 설정합니다. 기본값은 OFF입니다.
VOL_STATS_FILE_NUM은 아카이브된 acsss_stats.log 파일의 보존할 개수를 지정합니다.
VOL_STATS_FILE_SIZE는 acsss_stats.log가 아카이브되는 지점의 임계값 크기를 지정합니다.
ACSLS 로그 디렉토리 내에서, ACSLS GUI 및 SCSI 클라이언트 인터페이스의 논리적 라이브러리에 관한 정보는 sslm 디렉토리에 기록됩니다. 이 디렉토리는 WebLogic 감사 로그에 대한 링크를 포함합니다. sslm 디렉토리는 다음 로그를 포함합니다.
ACSLS GUI 및 SCSI 클라이언트 인터페이스의 이벤트를 기록합니다. 논리적 라이브러리 구성 변경 메시지와 SCSI 클라이언트 이벤트가 포함됩니다.
.g#은 이 로그의 세대 번호입니다.
.pp#은 이 로그의 병렬 프로세스 번호입니다. 여러 프로세스가 동시에 기록되는 경우 추가 프로세스 로그에 병렬 프로세스 번호가 지정됩니다.
SCSI 매체 교환기 인터페이스 에뮬레이션을 사용하여 SCSI 클라이언트에서 ACSLS 논리적 라이브러리로 향하는 작동을 추적합니다.
WebLogic의 access.log에 대한 링크입니다. WebLogic 감사 로그 구성 및 사용을 참조하십시오.
WebLogic의 AcslsDomain.log에 대한 링크입니다. WebLogic 감사 로그 구성 및 사용을 참조하십시오.
WebLogic의 AdminServer.log에 대한 링크입니다. WebLogic 감사 로그 구성 및 사용을 참조하십시오.
GUI 탐색 트리의 Configuration and Administration 섹션에서 Log Viewer에 액세스합니다. 로그 뷰어는 acsss_event.log와 smce_trace.log에서 결합한 정보를 표시합니다.
Solaris 감사 정책을 결정합니다. Oracle Solaris Administration: Security Services 매뉴얼의 Oracle Solaris Auditing 절을 참조하여 감사할 이벤트 종류, 감사 로그를 저장할 위치, 이들의 검토 방법을 계획할 수 있습니다.
사용자 정의 Solaris 감사 추적이 사용으로 설정되지 않은 경우 다음과 같은 로그인 감사 추적과 acsss, acsdb, acssa 사용자가 실행한 Unix 명령을 사용할 수 있습니다.
현재 Unix에 사인온한 사용자는 Unix utmpx에 기록되고 과거 사용자 액세스는 wtmpx 데이터베이스에 기록됩니다.
last 명령을 사용하여 사용자 ID에 대한 모든 액세스를 봅니다(예: last acsss). 자세한 내용은 wtmpx, last, getutxent 매뉴얼 페이지를 참조하십시오.
사용자 홈 디렉토리에 있는 .*_history([dot]*_history) 파일은 해당 사용자가 실행한 명령을 기록합니다.
acsss 사용자의 경우 다음이 포함됩니다.
.bash_history
.psql_history
.sh_history
Solaris에서 /var/adm/sulog는 su를 실행하여 수퍼 유저나 다른 사용자가 되려는 시도의 성공 및 실패를 기록합니다.
감사 및 시스템 로그 수집과 분석에 대한 자세한 내용은 Oracle Linux: Security Guide for Release 6의 Configuring and Using Auditing 및 Configuring and Using System Logging 절을 참조하십시오.
WebLogic Server 보안 옵션과 WebLogic 감사 추적 가능성은 Oracle Fusion Middleware; Understanding Security for Oracle WebLogic Server 11g Release 1 (10.3.6)을 참조하십시오.
WebLogic은 다음 디렉토리에 ACSLS GUI 액세스 정보를 기록합니다.
/export/home/SSLM/AcslsDomain/servers/AdminServer/logs
이 디렉토리는 다음 파일을 포함합니다.
access.log
access.log#####(예: access.log00001)이라는 아카이브된 버전이 있습니다.
GUI 사용자 활동에 대한 상세한 감사 추적을 제공합니다.
로그인 정보는 "AcslsLoginForm"을 확인하십시오.
주:
$ACS_HOME/logs/sslm/guiAccess.log에 액세스 로그에 대한 링크가 있습니다.AcslsDomain.log
WebLogic 및 ACSLS GUI 작업을 보고합니다.
주:
$ACS_HOME/logs/sslm/AcslsDomain.log에 액세스 로그에 대한 링크가 있습니다.AdminServer.log
WebLogic 및 ACSLS GUI 작업을 보고합니다.
주:
$ACS_HOME/logs/sslm/AdminServer.log에 액세스 로그에 대한 링크가 있습니다.