如何在使跨UＮＩＸ服務(wù)器作業(yè)更安全的情況下節(jié)省成本?

wzisinfo

試想,如果在您的數(shù)據(jù)中心有一臺(tái)Linux/X86_64服務(wù)器運(yùn)行應(yīng)用程序, 另一臺(tái)Solaris服務(wù)器運(yùn)行Oracle數(shù)據(jù)庫(kù). 應(yīng)用程序會(huì)產(chǎn)生一些數(shù)據(jù), 一旦生成, 需上載到Solaris機(jī)器上, 并裝入數(shù)據(jù)庫(kù)中.
假設(shè)數(shù)據(jù)的上載是由Linux上的用戶查理(登陸名charlie)用sftp進(jìn)行的, 其所用的Solaris上的用戶為數(shù)據(jù)庫(kù)管理員帳號(hào)山姆 (登陸名sam).
現(xiàn)在我們來(lái)看看這樣的安排有哪些安全風(fēng)險(xiǎn).
首先, 用sftp本身有兩個(gè)密碼泄密的風(fēng)險(xiǎn):
1.        同機(jī)上凡用同樣用戶名登陸的人, 或以超級(jí)用戶登陸的人,均可用tusc命令竊取當(dāng)你在用sftp登陸時(shí)所輸入的密碼.
2.        心懷不軌的超級(jí)用戶使用者可將sftp命令替換, 從而竊取密碼.
其次, 若查理可用sftp通過(guò)數(shù)據(jù)庫(kù)管理員帳號(hào)山姆將數(shù)據(jù)傳送到Solaris服務(wù)器上, 那他也能用sftp修改山姆的.profile文件或.ssh/authorized_keys文件, 可以想象這可能產(chǎn)生多么嚴(yán)重的后果, 特別是當(dāng)該數(shù)據(jù)庫(kù)存的是顧客的存款信息.
WZIS Software對(duì)此有一完美的解決方案. 在此解決方案中, 用到了WZIS Software的兩項(xiàng)產(chǎn)品:
1.        Autossh:         該軟件包包含兩種用以ssh登陸自動(dòng)化的工具:
•        assh:        用以無(wú)約束的ssh登陸自動(dòng)化.
•        asshc:        會(huì)對(duì)所執(zhí)行的命令進(jìn)行備案的ssh登陸自動(dòng)化的工具.
2.        CaclMgr:        一種類(lèi)似sudo但可用于系統(tǒng)及作業(yè)自動(dòng)化的, 并更安全的授權(quán)軟件.

以下是WZIS Software的解決方案, 該方案不僅解決了上面所發(fā)現(xiàn)的安全問(wèn)提, 還可給您節(jié)省費(fèi)用實(shí)現(xiàn)作業(yè)自動(dòng)化:
•        在Linux服務(wù)器上建一個(gè)新的除可讀數(shù)據(jù)文件無(wú)其它特殊權(quán)限的帳號(hào), 假定名為userc.
•        寫(xiě)一個(gè)SHELL文本程序/usr/local/bin/auto_data_load, 內(nèi)容如下:
#!/bin/bash
cat 數(shù)據(jù)文件|/usr/local/bin/asshc  sam@SunMachine  “cat >/DP/DF; command_for_load_data_into_database”
•        chmod 755 /usr/local/bin/auto_data_load
•        su  userc
•        /usr/local/secbin/cacl  -a charlie /usr/local/bin/auto_data_load
•        ssh-keygen
生成一對(duì)新的密鑰, 并將passphrase以兩人控制, 以確保任何人都無(wú)法獲的完整的passphrase.
•        將.ssh/id_dsa.pub 或 .ssh/id_rsa.pub中的內(nèi)容添加到Solaris服務(wù)器上~sam/.ssh/authorized_keys文件中.
•        運(yùn)行ssh  sam@SunMachine uname –a
以確認(rèn)以密鑰進(jìn)行的登陸一切完好.
•        /usr/local/bin/asshckey sam@SunMachine
建立以AES算法加密的passphrase文件, 供以后用asshc進(jìn)行ssh自動(dòng)登陸使用.
•        /usr/local/bin/asshc  sam@SunMachine “uname –a;ls”
以確認(rèn)自動(dòng)登陸無(wú)問(wèn)題.
•        將.ssh/id_dsa 或.ssh/id_rsa改名成asshc.key
•        退出userc
•        修改/etc/passwd文件, 將userc 的shell屬性改成 /bin/false.  并可將該用戶的口令改成非法.
在此之后, charlie便可用:
        /usr/local/secbin/cacl  –e userc /usr/local/bin/auto_data_load
完成從數(shù)據(jù)傳送到數(shù)據(jù)加載進(jìn)數(shù)據(jù)庫(kù)的一攬子作業(yè), 并可將此完全自動(dòng)化, 節(jié)省人工成本并消除由人工所可能產(chǎn)生的失誤，一舉多得.
我們的assh及asshc可抗系統(tǒng)調(diào)用跟蹤, 并可檢測(cè)特洛伊木馬的攻擊.
以此設(shè)置, 無(wú)人可通過(guò)charlie的帳號(hào)對(duì)文件傳輸?shù)墓δ苓M(jìn)行濫用. 甚至是超級(jí)用戶都無(wú)法直接經(jīng)由userc濫用此功能.

欲了解更多本公司詳情, 請(qǐng)?jiān)L問(wèn)http://www.wziss.com/