如何在使跨UＮＩＸ服務器作業(yè)更安全的情況下節(jié)省成本?？

wzisinfo

試想,如果在您的數(shù)據(jù)中心有一臺AIX服務器運行應用程序, 另一臺Solaris服務器運行Oracle數(shù)據(jù)庫. 應用程序會產(chǎn)生一些數(shù)據(jù), 一旦生成, 需上載到Solaris機器上, 并裝入數(shù)據(jù)庫中.
假設數(shù)據(jù)的上載是由AIX上的用戶查理(登陸名charlie)用sftp進行的, 其所用的Solaris上的用戶為數(shù)據(jù)庫管理員帳號山姆 (登陸名sam).
現(xiàn)在我們來看看這樣的安排有哪些安全風險.
首先, 用sftp本身有兩個密碼泄密的風險:
1.        同機上凡用同樣用戶名登陸的人, 或以超級用戶登陸的人,均可用truss命令竊取當你在用sftp登陸時所輸入的密碼.
2.        心懷不軌的超級用戶使用者可將sftp命令替換, 從而竊取密碼.
其次, 若查理可用sftp通過數(shù)據(jù)庫管理員帳號山姆將數(shù)據(jù)傳送到Solaris服務器上, 那他也能用sftp修改山姆的.profile文件或.ssh/authorized_keys文件, 可以想象這可能產(chǎn)生多么嚴重的后果, 特別是當該數(shù)據(jù)庫存的是顧客的存款信息.
WZIS Software對此有一完美的解決方案. 在此解決方案中, 用到了WZIS Software的兩項產(chǎn)品:
1.        Autossh:         該軟件包包含兩種用以ssh登陸自動化的工具:
•        assh:        用以無約束的ssh登陸自動化.
•        asshc:        會對所執(zhí)行的命令進行備案的ssh登陸自動化的工具.
2.        CaclMgr:        一種類似sudo但可用于系統(tǒng)及作業(yè)自動化的, 并更安全的授權軟件.

以下是WZIS Software的解決方案, 該方案不僅解決了上面所發(fā)現(xiàn)的安全問提, 還可給您節(jié)省費用實現(xiàn)作業(yè)自動化:
•        在AIX服務器上建一個新的除可讀數(shù)據(jù)文件無其它特殊權限的帳號, 假定名為userc.
•        寫一個SHELL文本程序/usr/local/bin/auto_data_load, 內(nèi)容如下:
#!/bin/sh
cat 數(shù)據(jù)文件|/usr/local/bin/asshc  sam@SunMachine  “cat >/DP/DF; command_for_load_data_into_database”
•        chmod 755 /usr/local/bin/auto_data_load
•        su  userc
•        /usr/local/secbin/cacl  -a charlie /usr/local/bin/auto_data_load
•        ssh-keygen
生成一對新的密鑰, 并將passphrase以兩人控制, 以確保任何人都無法獲的完整的passphrase.
•        將.ssh/id_dsa.pub 或 .ssh/id_rsa.pub中的內(nèi)容添加到Solaris服務器上~sam/.ssh/authorized_keys文件中.
•        運行ssh  sam@SunMachine uname –a
以確認以密鑰進行的登陸一切完好.
•        /usr/local/bin/asshckey sam@SunMachine
建立以AES算法加密的passphrase文件, 供以后用asshc進行ssh自動登陸使用.
•        /usr/local/bin/asshc  sam@SunMachine “uname –a;ls”
以確認自動登陸無問題.
•        將.ssh/id_dsa 或.ssh/id_rsa改名成asshc.key
•        退出userc
•        修改/etc/passwd文件, 將userc 的shell屬性改成 /bin/false.  并可將該用戶的口令改成非法.
在此之后, charlie便可用:
        /usr/local/secbin/cacl  –e userc /usr/local/bin/auto_data_load
完成從數(shù)據(jù)傳送到數(shù)據(jù)加載進數(shù)據(jù)庫的一攬子作業(yè), 并可將此完全自動化, 節(jié)省人工成本并消除由人工所可能產(chǎn)生的失誤，一舉多得.
我們的assh及asshc可抗系統(tǒng)調(diào)用跟蹤, 并可檢測特洛伊木馬的攻擊.
以此設置, 無人可通過charlie的帳號對文件傳輸?shù)墓δ苓M行濫用. 甚至是超級用戶都無法直接經(jīng)由userc濫用此功能.

欲了解更多本公司詳情, 請訪問http://www.wziss.com/