- 論壇徽章:
- 0
|
試想,如果在您的數(shù)據(jù)中心有一臺HP-UX服務器運行應用程序, 另一臺Solaris服務器運行Oracle數(shù)據(jù)庫. 應用程序會產(chǎn)生一些數(shù)據(jù), 一旦生成, 需上載到Solaris機器上, 并裝入數(shù)據(jù)庫中.
假設數(shù)據(jù)的上載是由HP-UX上的用戶查理(登陸名charlie)用sftp進行的, 其所用的Solaris上的用戶為數(shù)據(jù)庫管理員帳號山姆 (登陸名sam).
現(xiàn)在我們來看看這樣的安排有哪些安全風險.
首先, 用sftp本身有兩個密碼泄密的風險:
1. 同機上凡用同樣用戶名登陸的人, 或以超級用戶登陸的人,均可用tusc命令竊取當你在用sftp登陸時所輸入的密碼.
2. 心懷不軌的超級用戶使用者可將sftp命令替換, 從而竊取密碼.
其次, 若查理可用sftp通過數(shù)據(jù)庫管理員帳號山姆將數(shù)據(jù)傳送到Solaris服務器上, 那他也能用sftp修改山姆的.profile文件或.ssh/authorized_keys文件, 可以想象這可能產(chǎn)生多么嚴重的后果, 特別是當該數(shù)據(jù)庫存的是顧客的存款信息.
WZIS Software對此有一完美的解決方案. 在此解決方案中, 用到了WZIS Software的兩項產(chǎn)品:
1. Autossh: 該軟件包包含兩種用以ssh登陸自動化的工具:
• assh: 用以無約束的ssh登陸自動化.
• asshc: 會對所執(zhí)行的命令進行備案的ssh登陸自動化的工具.
2. CaclMgr: 一種類似sudo但可用于系統(tǒng)及作業(yè)自動化的, 并更安全的授權軟件.
以下是WZIS Software的解決方案, 該方案不僅解決了上面所發(fā)現(xiàn)的安全問提, 還可給您節(jié)省費用實現(xiàn)作業(yè)自動化:
• 在HP-UX服務器上建一個新的除可讀數(shù)據(jù)文件無其它特殊權限的帳號, 假定名為userc.
• 寫一個SHELL文本程序/usr/local/bin/auto_data_load, 內容如下:
#!/bin/sh
cat 數(shù)據(jù)文件|/usr/local/bin/asshc sam@SunMachine “cat >/DP/DF; command_for_load_data_into_database”
• chmod 755 /usr/local/bin/auto_data_load
• su userc
• /usr/local/secbin/cacl -a charlie /usr/local/bin/auto_data_load
• ssh-keygen
生成一對新的密鑰, 并將passphrase以兩人控制, 以確保任何人都無法獲的完整的passphrase.
• 將.ssh/id_dsa.pub 或 .ssh/id_rsa.pub中的內容添加到Solaris服務器上~sam/.ssh/authorized_keys文件中.
• 運行ssh sam@SunMachine uname –a
以確認以密鑰進行的登陸一切完好.
• /usr/local/bin/asshckey sam@SunMachine
建立以AES算法加密的passphrase文件, 供以后用asshc進行ssh自動登陸使用.
• /usr/local/bin/asshc sam@SunMachine “uname –a;ls”
以確認自動登陸無問題.
• 將.ssh/id_dsa 或.ssh/id_rsa改名成asshc.key
• 退出userc
• 修改/etc/passwd文件, 將userc 的shell屬性改成 /bin/false. 并可將該用戶的口令改成非法.
在此之后, charlie便可用:
/usr/local/secbin/cacl –e userc /usr/local/bin/auto_data_load
完成從數(shù)據(jù)傳送到數(shù)據(jù)加載進數(shù)據(jù)庫的一攬子作業(yè), 并可將此完全自動化, 節(jié)省人工成本并消除由人工所可能產(chǎn)生的失誤���,一舉多得.
我們的assh及asshc可抗系統(tǒng)調用跟蹤, 并可檢測特洛伊木馬的攻擊.
以此設置, 無人可通過charlie的帳號對文件傳輸?shù)墓δ苓M行濫用. 甚至是超級用戶都無法直接經(jīng)由userc濫用此功能.
欲了解更多本公司詳情, 請訪問http://www.wziss.com/
|
|
免費注冊
發(fā)表于 2012-01-08 06:51