Esta seção descreve os mecanismos de segurança específicos oferecidos pelo ACSLS.
Os requisitos de segurança do ACSLS surgem da necessidade de proteger os dados: primeiro, contra perda acidental e corrupção; e, segundo, contra tentativas intencionais não autorizadas de acesso ou alteração desses dados. As preocupações secundárias incluem a proteção contra atrasos indevidos no acesso ou no uso dos dados ou até mesmo contra interferência até a negação do serviço.
Os principais recursos de segurança que oferecem essas proteções são:
Autenticação – garante que somente indivíduos autorizados tenham acesso ao sistema e aos dados.
Autorização – fornece controle de acesso aos privilégios e dados do sistema. Baseia-se na autenticação para garantir que os indivíduos tenham somente o acesso apropriado.
Auditoria – permite que os administradores detectem tentativas de violação do mecanismo de autenticação e tentativas ou violações bem-sucedidas do controle de acesso.
Por padrão, no Linux ou no Solaris, os usuários do ACSLS são autenticados pelo PAM (Pluggable Authentication Modules). Consulte as páginas man do Solaris ou o Linux-PAM System Administrators Guide.
Os usuários do ACSLS GUI são autenticados pelo servidor LDAP incorporado no WebLogic. Consulte o documento Managing the Embedded LDAP Server:
http://docs.oracle.com/cd/E13222_01/wls/docs81/secmanage/ldap.html
Os usuários do ACSLS acsss e acssa devem efetuar login no Solaris ou no Linux e serem autenticados pelo sistema operacional antes de poderem usar o cmd_proc ou, no caso do usuário acsss, antes de executar os comandos de configuração e os utilitários do ACSLS. O ID de usuário acsdb também é usado para operações relacionadas ao banco de dados. Como parte do processo de instalação do ACSLS, os clientes devem definir as senhas para esses IDs na primeira vez que efetuam login. Consulte o ACSLS Installation Guide para obter detalhes.
Os usuários do ACSLS GUI devem efetuar login e serem autenticados pelo WebLogic. O acsls_admin é criado durante a instalação do ACSLS, e os clientes devem definir sua senha. Os clientes podem adicionar outros usuários da GUI, conforme desejado, com o utilitário userAdmin.sh. Para obter detalhes, consulte o ACSLS Installation Guide e o ACSLS Administrator’s Guide, capítulo ”Utilities”, no userAdmin.sh.
As considerações gerais de auditoria que se aplicam ao ACSLS são descritas aqui.
Embora o processo de auditoria tenha um custo relativamente baixo, limite o número de eventos auditados na medida do possível. Isso minimiza o impacto em termos de desempenho na execução das instruções auditadas e o tamanho da trilha de auditoria, facilitando a análise, a compreensão e o gerenciamento.
Use as seguintes diretrizes ao elaborar uma estratégia de auditoria:
O ACSLS possui vários logs de informações que permitem registrar e inspecionar a atividade do ACSLS.
Você pode exibir a maioria deles usando vi e outros editores. Os Eventos do Sistema só podem ser exibidos usando o ACSLS GUI.
A maioria desses logs pode ser automaticamente arquivada quando atinge um tamanho definido pelo usuário, e um número de logs especificado pelo cliente será retido. Para evitar que o sistema de arquivos do ACSLS fique cheio, há um limite configurável de número de logs que será retido. Caso queira reter mais desses arquivos de log ou retê-los em outro sistema, você precisará desenvolver seu próprio procedimento para arquivá-los em um local que tenha espaço suficiente.
O tamanho, o número de logs arquivados a ser retido e outras características desses arquivos são definidos pelas variáveis dinâmicas e estáticas do ACSLS.
O diretório de logs do ACSLS é controlado pela variável estática LOG_PATH. O padrão é o diretório $ACS_HOME/log. Esse diretório inclui estes logs:
Registra as mensagens relativas a eventos de sistema, eventos de biblioteca e erros significativos do ACSLS.
Quando o acsss_event.log atinge o tamanho limite definido pela variável dinâmica LOG_SIZE, ele é copiado para o event0.log e limpo. Durante o processo de cópia, os logs de evento retidos são copiados para os logs retidos de numeração mais alta, e o log retido com a maior numeração é sobreposto. Por exemplo: o event8.log é copiado sobre o event9.log, o evento7.log é copiado sobre o event8.log, …, o event0.log é copiado sobre o event1.log, o acsss_event.log é copiado sobre o event0.log, e o acsss_event.log é limpo. Isso é controlado pelas seguintes variáveis:
EVENT_FILE_NUMBER especifica o número de logs de eventos a serem retidos.
LOG_SIZE especifica o tamanho limite no qual o log de eventos é copiado para um log de eventos retido e truncado.
Use o utilitário greplog para filtrar o log acsss_event de modo a incluir ou excluir mensagens que contenham palavras-chave específicas. Consulte greplog no capítulo ”Utilities” do ACSLS Administrator’s Guide para obter mais detalhes.
Existem dois logs que registram detalhes quando o ACSLS atualiza a configuração de biblioteca armazenada no banco de dados do ACSLS. As alterações de configuração do acsss_config e do Dynamic Config (o utilitário config) são registradas aqui.
Registra os detalhes de todas as configurações ou reconfigurações da(s) biblioteca(s) que o ACSLS suporta. A última alteração de configuração é adicionada ao registro de configurações anteriores.
Registra os eventos durante o processo de configuração ou reconfiguração.
Registra a resposta de todas as solicitações ao ACSLS feitas por clientes ACSAPI ou pelo cmd_proc, bem como as respostas a todas as solicitações feitas à GUI ou à interface entre o SCSI Client e bibliotecas lógicas, exceto no caso de consultas do banco de dados. As informações registradas incluem o solicitante, a solicitação e o carimbo de data e hora da solicitação.
rpTrail.log é gerenciado pelas seguintes variáveis:
LM_RP_TRAIL ativa essa trilha de auditoria de eventos do ACSLS. O padrão é TRUE.
RP_TRAIL_LOG_SIZE especifica o tamanho limite no qual o rpTrail.log é compactado e arquivado.
RP_TRAIL_FILE_NUM especifica o número de logs rpTrail arquivados a serem retidos.
RP_TRAIL_DIAG especifica se as mensagens do rpTrail devem incluir informações de diagnóstico adicionais. O padrão é FALSE.
Registra todos os eventos relacionados a volumes (cartuchos) em uma biblioteca de fitas, incluindo se um volume foi montado, desmontado, movido, informado, ejetado ou localizado pela auditoria ou pelo processo Cartridge Recovery. Se o recurso de Estatísticas de Volume da Biblioteca estiver ativado, essas informações serão registradas no acsss_stats.log.
As Estatísticas de Volume da Biblioteca são gerenciadas pelas seguintes variáveis:
LIB_VOL_STATS ativa o recurso de Estatísticas de Volume da Biblioteca. O padrão é OFF.
VOL_STATS_FILE_NUM especifica o número de arquivos acsss_stats.log arquivados a serem retidos.
VOL_STATS_FILE_SIZE especifica o tamanho limite no qual o acsss_stats.log é arquivado.
No diretório de logs do ACSLS, as informações sobre o ACSLS GUI e a interface entre o SCSI Client e bibliotecas lógicas são registradas no diretório sslm. Esse diretório inclui links para os logs de auditoria do WebLogic. O diretório sslm inclui estes logs:
Registra os eventos do ACSLS GUI e da interface do SCSI Client. Inclui mensagens de alterações de configuração de bibliotecas lógicas e eventos do SCSI Client.
O .g# é o número de geração desse log.
O .pp# é o número do processo paralelo desse log. Se houver vários processos registrados ao mesmo tempo, os logs dos processos adicionais receberão um número de processo paralelo.
Rastreia a atividade de SCSI Clients para as bibliotecas lógicas do ACSLS usando a emulação do SCSI Media Changer Interface.
É um link para o access.log do WebLogic. Consulte Configurando e Usando os Logs de Auditoria do WebLogic.
É um link para o AcslsDomain.log do WebLogic. Consulte Configurando e Usando os Logs de Auditoria do WebLogic.
É um link para o AdminServer.log do WebLogic. Consulte Configurando e Usando os Logs de Auditoria do WebLogic.
Acesse o Log Viewer na seção Configuração e Administração da Árvore de Navegação da GUI. O Log Viewer exibe informações combinadas do acsss_event.log and the smce_trace.log.
Você também pode exibir Eventos de Sistema na seção Configuração e Administração da árvore de navegação da GUI. Toda operação de biblioteca discreta é registrada no log System Events. Cada registro desse log contém um carimbo de data e hora de evento, um tipo de evento e uma descrição do evento.
Determine a política de auditoria do Solaris. A seção Oracle Solaris Auditing do manual Oracle System Administration: Security Services pode ajudá-lo a planejar quais eventos serão auditados, onde os logs de auditoria serão salvos e como você deseja revisá-los.
Se não você tiver ativado trilhas de auditoria personalizadas do Solaris, estas trilhas de auditoria de logins e comandos do Unix executados pelos usuários acsss, acsdb e acssa estarão disponíveis:
Os usuários que estão atualmente conectados no Unix são registrados no Unix utmpx e o acesso de usuários anteriores é registrado no banco de dados wtmpx.
Use o comando last para ver todos os acessos de um ID de usuário (por exemplo, last acsss). Para obter mais informações, consulte as páginas man referentes a: wtmpx, last e getutxent.
Os arquivos .*_history ([dot]*_history) do diretório home de um usuário registram os comando executados por esse usuário.
Para o usuário acsss, estão incluídos:
.bash_history
.psql_history
.sh_history
No Solaris, /var/adm/sulog registra as tentativas bem-sucedidas e malsucedidas de executar su e se tornar superusuário ou outro usuário.
Consulte as seções Configuring and Using Auditing e Configuring and Using System Logging no Oracle Linux: Security Guide for Release 6 para obter detalhes sobre como coletar e analisar os logs de auditoria e do sistema.
Consulte o Oracle Fusion Middleware; Understanding Security for Oracle WebLogic Server 11g Release 1 (10.3.6) para ver as opções de proteção de um servidor do WebLogic e as possibilidades de trilha de auditoria com o WebLogic.
O WebLogic registra os acessos ao ACSLS GUI no seguinte diretório:
/export/home/SSLM/AcslsDomain/servers/AdminServer/logs
Esse diretório inclui os seguintes arquivos:
access.log
Existem versões arquivadas denominadas access.log##### (por exemplo, access.log00001)
Fornece uma trilha de auditoria detalhada de uma atividade de usuário da GUI.
Para logins, procure por ”AcslsLoginForm”.
Observação:
Existe um link para o log de acesso no: $ACS_HOME/logs/sslm/guiAccess.log.AcslsDomain.log
Informa as operações do WebLogic e do ACSLS GUI.
Observação:
Existe um link para o log de acesso no: $ACS_HOME/logs/sslm/AcslsDomain.log.AdminServer.log
Informa as operações do WebLogic e do ACSLS GUI.
Observação:
Existe um link para o log de acesso no: $ACS_HOME/logs/sslm/AdminServer.log.