配置審計(jì)系統(tǒng)(CAS)跟蹤并報(bào)告服務(wù)器環(huán)境的變化;例如，修改的配置文件、環(huán)境或注冊(cè)表變量，或其他數(shù)據(jù)庫(kù)或操作系統(tǒng)組件，包括數(shù)據(jù)庫(kù)管理系統(tǒng)或操作系統(tǒng)使用的可執(zhí)行文件或腳本。數(shù)據(jù)在Guardium 系統(tǒng)上可用，可用于報(bào)告和警報(bào)。

CAS代理

CAS 是安裝在數(shù)據(jù)庫(kù)服務(wù)器上的代理，只要受監(jiān)視實(shí)體發(fā)生更改(無(wú)論是內(nèi)容還是所有權(quán)或權(quán)限)，它都會(huì)向Guardium系統(tǒng)報(bào)告。您在數(shù)據(jù)庫(kù)服務(wù)器系統(tǒng)上安裝 CAS 客戶端，使用與安裝 S-TAP® 相同的實(shí)用程序。CAS 與 S-TAP 共享配置信息，但每個(gè)組件獨(dú)立運(yùn)行。在主機(jī)上安裝 CAS 客戶端后，您可以從 Guardium® 門戶配置實(shí)際的變更審計(jì)功能。

CAS 服務(wù)器

CAS 服務(wù)器是 Guardium 的一個(gè)組件，在Guardium系統(tǒng)上運(yùn)行。它作為一個(gè)獨(dú)立的進(jìn)程運(yùn)行，獨(dú)立于 Tomcat 應(yīng)用程序服務(wù)器。它通過(guò)innittab文件進(jìn)行控制。

CAS 服務(wù)器配置為僅使用Guardium系統(tǒng)上的少數(shù)可用處理器。CAS 使用的處理器數(shù)量是通過(guò)使用參數(shù)divide_num_of_processors_by確定的。此參數(shù)存儲(chǔ)在cas.server.config.properties 文件中，其默認(rèn)值為 2。Guardium 系統(tǒng)上可用處理器的數(shù)量除以此值。這確保了即使 CAS 在分配的處理器上使用了 100% 的 CPU，其余處理器也可供其他應(yīng)用程序使用。

CAS 服務(wù)器認(rèn)證

除了 SSL 提供的基本安全性之外，Guardium 還在數(shù)據(jù)庫(kù)服務(wù)器上運(yùn)行的 CAS 客戶端上提供 CAS 服務(wù)器認(rèn)證支持。這將保證 CAS 客戶端僅與 Guardium 的 CAS 服務(wù)器通信。未經(jīng)身份驗(yàn)證的連接和通用名稱 (CN) 不匹配將在 CAS 日志文件中報(bào)告。

配置后，當(dāng) CAS 服務(wù)器啟動(dòng)時(shí)，它將加載簽名證書和私鑰，并將它們分配給它接受連接的服務(wù)器套接字。在數(shù)據(jù)庫(kù)服務(wù)器端，CAS 客戶端將支持以下連接模式：

1.非安全連接(use_tls='0')

2.無(wú)需身份驗(yàn)證的安全連接(use_tls ='1'，guardium_ca_path=NULL)。此模式強(qiáng)制使用 SSL 作為與 CAS 服務(wù)器的通信方式(即使用 SSL 而不使用服務(wù)器身份驗(yàn)證)。

3.與服務(wù)器身份驗(yàn)證的安全連接(use_tls ='1'，guardium_ca_path=<公鑰位置>)。CAS 客戶端使用公鑰來(lái)驗(yàn)證 CAS 服務(wù)器。公鑰 (ca.cert.pem) 將位于 /etc/pki/certs/trusted 下。

ca.cert.pem - 是一個(gè)包含根證書頒發(fā)機(jī)構(gòu)證書(自簽名)的文件。在等效的瀏覽器中，那些將是受信任的 CA 證書，例如 VeriSign 等。

所有 gmachine 證書均由根授權(quán)機(jī)構(gòu)頒發(fā)/簽署——這就是它們的驗(yàn)證方式以及信任鏈的建立方式。

可以使用包含實(shí)際公鑰文件名的完整路徑或僅使用目錄名 (/etc/pki/certs/trusted) 設(shè)置guardium_ca_path，其中將使用此目錄中的所有公鑰為了驗(yàn)證服務(wù)器。如果使用不包含公鑰的文件或目錄設(shè)置了guardium_ca_path，則連接嘗試將失敗。

4.通過(guò)服務(wù)器身份驗(yàn)證和公用名驗(yàn)證實(shí)現(xiàn)安全連接。此模式有一個(gè)額外的檢查，其中來(lái)自服務(wù)器的證書 CN 與參數(shù) sqlguard_cert_cn 中設(shè)置的證書進(jìn)行比較。如果 sqlguard_cert_cn 為 NULL 或?yàn)榭眨藱z查將被禁用。否則，它需要使用與 CN Guardium 的自簽名證書 ('gmachine') 相同的設(shè)置。

將 SSL 與 CAS 結(jié)合使用

您可以將 CAS 代理配置為使用安全套接字層 (SSL) 連接將數(shù)據(jù)發(fā)送到 CAS 服務(wù)器。隨版本10.5安裝的 CAS 服務(wù)器符合美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn) 140-2 (FIPS 140-2) 的要求。只有符合 FIPS 的 CAS 代理才能使用 SSL 與此 CAS 服務(wù)器通信。如果您想使用這種方法，您必須將您的 CAS 代理升級(jí)到此補(bǔ)丁提供的版本。您還必須在運(yùn)行 CAS 代理的服務(wù)器上安裝 IBM Java，并且必須將 CAS 代理配置為使用它。為了使用 FIPS 通信，必須使用基于證書的身份驗(yàn)證。

如果您嘗試使用較舊的 CAS 代理通過(guò) SSL 與更新的 CAS 服務(wù)器進(jìn)行通信，您將在 CAS 代理系統(tǒng)的日志文件中看到以下消息：

javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

您可能還會(huì)在Guardium系統(tǒng) 上的 CAS 日志文件中看到此消息

javax.net.ssl.SSLHandshakeException: Client requested protocol SSLv3 not
enabled or not supported

如果要在 CAS 代理和 CAS 服務(wù)器之間使用非 SSL 連接，可以繼續(xù)使用現(xiàn)有的 CAS 代理。

模板集

CAS 模板集包含捆綁在一起的項(xiàng)目模板列表，具有共同的目的，例如監(jiān)視特定類型的數(shù)據(jù)庫(kù)(例如，Unix 上的 Oracle)，并且是以下兩種類型之一：

僅限操作系統(tǒng)(Unix 或 Windows)

數(shù)據(jù)庫(kù)(Unix-Oracle、Windows-Oracle、Unix-DB2、Windows-DB2 等)

數(shù)據(jù)庫(kù)模板集始終特定于數(shù)據(jù)庫(kù)類型和操作系統(tǒng)類型。

CAS 模板項(xiàng)

單個(gè)受監(jiān)控實(shí)體上的監(jiān)控任務(wù)的定義或?qū)傩约Ｓ脩艨梢酝ㄟ^(guò)創(chuàng)建新的 CAS 模板來(lái)定義新的 CAS 測(cè)試，或者用戶可以使用可以修改的預(yù)定義 CAS 模板。

模板項(xiàng)是特定文件或文件模式、環(huán)境或注冊(cè)表變量、操作系統(tǒng)或 SQL 腳本的輸出或登錄用戶列表。任何這些項(xiàng)目的狀態(tài)都由原始數(shù)據(jù)反映，即文件的內(nèi)容或注冊(cè)表變量的值。CAS 通過(guò)檢查原始數(shù)據(jù)的大小或計(jì)算原始數(shù)據(jù)的校驗(yàn)和來(lái)檢測(cè)更改。對(duì)于文件，CAS 還可以檢查系統(tǒng)級(jí)別的更改，例如文件的所有權(quán)、訪問(wèn)權(quán)限和路徑。

在所有單元(收集器和聚合器)由一個(gè)管理器管理的聯(lián)合環(huán)境中，收集器和聚合器共享所有模板，并且 CAS 數(shù)據(jù)可用于報(bào)告或漏洞評(píng)估。當(dāng)收集器和聚合器(或恢復(fù)存檔數(shù)據(jù)的主機(jī))不是同一管理集群的一部分時(shí)，模板不會(huì)共享，因此即使存在數(shù)據(jù)，CAS 數(shù)據(jù)也不能被漏洞評(píng)估使用，以糾正這種使用 export/導(dǎo)入定義以將模板從收集器復(fù)制到聚合器(或恢復(fù)目標(biāo))。

受監(jiān)控實(shí)體

被監(jiān)控的實(shí)際實(shí)體可以是文件(其內(nèi)容和屬性)、環(huán)境變量或 Windows 注冊(cè)表的值、操作系統(tǒng)命令或腳本或 SQL 語(yǔ)句的輸出

CAS 實(shí)例

在特定主機(jī)上應(yīng)用 CAS 模板集(創(chuàng)建該模板集的實(shí)例并將其應(yīng)用于特定主機(jī))

CAS 配置

CAS 配置定義一個(gè)或多個(gè) CAS 實(shí)例，每個(gè)實(shí)例標(biāo)識(shí)一個(gè)模板集，用于監(jiān)控該主機(jī)上的一組項(xiàng)目。

默認(rèn)模板集

對(duì)于支持的每種操作系統(tǒng)和數(shù)據(jù)庫(kù)類型，Guardium 提供了一個(gè)預(yù)配置的默認(rèn)模板集，用于監(jiān)視 Unix 或 Windows 平臺(tái)上的各種數(shù)據(jù)庫(kù)。默認(rèn)模板集將用作為該模板集類型定義的任何新模板集的起點(diǎn)。模板集類型可以是單獨(dú)的操作系統(tǒng)(Unix 或 Windows)，也可以是數(shù)據(jù)庫(kù)管理系統(tǒng)(DB2®、Informix®、Oracle 等)，它始終由操作系統(tǒng)類型限定 - 例如，UNIX- Oracle 或 Windows-Oracle。Guardium 的漏洞評(píng)估中使用了許多預(yù)配置的默認(rèn)模板集，例如，可以檢查已知參數(shù)、文件位置和文件權(quán)限。

您無(wú)法修改 Guardium 缺省模板集，但可以克隆它并修改克隆的版本。每個(gè) Guardium 缺省模板集都定義了一組要監(jiān)視的項(xiàng)目。確保您了解由該默認(rèn)模板集監(jiān)控的每個(gè)項(xiàng)目的功能和用途，并使用與您的環(huán)境相關(guān)的項(xiàng)目。定義您自己的模板集后，您可以將該模板集指定為該模板集類型的默認(rèn)模板集。之后，為該操作系統(tǒng)和數(shù)據(jù)庫(kù)類型定義的任何新模板集都將使用您的新默認(rèn)模板集作為起點(diǎn)進(jìn)行定義。不會(huì)刪除為該類型設(shè)置的 Guardium 默認(rèn)模板;它將保持定義，但不會(huì)被標(biāo)記為默認(rèn)值。

創(chuàng)建模板集以滿足特定數(shù)據(jù)庫(kù)配置的基本原理

盡管 Guardium 為每種數(shù)據(jù)庫(kù)類型提供了預(yù)定義的 CAS 模板集，但可能的數(shù)據(jù)庫(kù)配置種類繁多，這意味著您可能必須調(diào)整預(yù)定義的模板集或創(chuàng)建新的模板集以滿足生產(chǎn)環(huán)境中的所有需求——尤其是在數(shù)據(jù)庫(kù)軟件和數(shù)據(jù)文件位置。如果您希望 CAS 監(jiān)控?cái)?shù)據(jù)庫(kù)文件的所有權(quán)、權(quán)限和更改，您應(yīng)該計(jì)劃創(chuàng)建其他模板。

例如，Oracle 的預(yù)定義 CAS 模板集包含以下模板：

$ORACLE_HOME/oradata/../.*dbf
$ORACLE_HOME/oradata/../.*ctl
$ORACLE_HOME/oradata/../.*log
$ORACLE_HOME/../init.*.ora

如您所見，這些文件模式模板都以相同的根目錄 $ORACLE_HOME 開頭(注意：這不一定是在您的數(shù)據(jù)庫(kù)服務(wù)器上定義的 $ORACLE_HOME 環(huán)境變量;CAS 優(yōu)先使用數(shù)據(jù)源字段“Database Instance Directory”作為 $ORACLE_HOME 的值)。

在生產(chǎn)環(huán)境中，您的 Oracle 數(shù)據(jù)文件可能與您的日志文件不在同一目錄樹中，甚至不在同一設(shè)備上，并且您的 Oracle 配置文件可能位于另一個(gè)位置。

您可以使用絕對(duì)路徑創(chuàng)建其他 CAS 模板，以允許 CAS 查找和監(jiān)控所有 Oracle 文件，例如：

/u01/oradata/mydb/*.dbf
/u02/oradata/mydb/*.dbf
/u03/oradata/mydb/*.dbf
/u01/oradata/mydb/*.ctl
/u02/oradata/mydb/*.ctl
/u03/oradata/mydb/*.ctl
/home/oracle11/admin/mydb/bdump/*.log
/home/oracle11/product/11.1/db_1/dbs/init*.ora

您甚至可以使用在您的 Oracle 實(shí)例帳戶中定義的其他環(huán)境變量。例如，如果您將變量定義為 $ORA_DATA1、$ORA_DATA2 和 $ORA_SOFT，您可以使用：

$ORA_DATA1/mydb/*.dbf
$ORA_DATA2/mydb/*.dbf
$ORA_DATA1/mydb/*.ctl
$ORA_DATA2/mydb/*.ctl
$ORA_SOFT/admin/mydb/bdump/*.log
$ORA_SOFT/product/11.1/db_1/dbs/init*.ora

從不同位置獲取文件

CAS 模板假定某些文件(例如用戶配置文件)位于特定位置。您可以將 CAS 配置為在您使用正則表達(dá)式指定的其他位置查找這些文件。要使用此功能，請(qǐng)將user_profile_files參數(shù)添加到config目錄中的cas.client.config.properties文件中。每個(gè)條目的格式是

identifying_string=comma-separated list of files

例如，假設(shè)您想在任何 DB2 用戶的主目錄中查找 .profile 文件。對(duì)于此示例，我們假設(shè)所有這些主目錄的名稱都包含字符串“db2”。將此行添加到屬性文件：

user_profile_files=.*db2.*=.profile

如果您需要指定多個(gè)模式，請(qǐng)使用條形符號(hào) (|) 分隔模式。如果要將 mysql 用戶的配置文件添加到上一個(gè)條目，請(qǐng)將前面的示例替換為：

user_profile_files=.*db2.*=.profile|.*mysql.*=.profile

先決條件、在 Windows 服務(wù)器上安裝和運(yùn)行 CAS

了解 CAS 先決條件以及如何在數(shù)據(jù)庫(kù)服務(wù)器上安裝 CAS 代理

先決條件，在 Linux、UNIX 服務(wù)器上安裝和運(yùn)行 CAS

了解 CAS 先決條件以及如何在數(shù)據(jù)庫(kù)服務(wù)器上安裝 CAS 代理

定位 Java 主目錄并檢查

版本 在安裝 CAS 之前定位主目錄并檢查 Java 版本。

CAS 啟動(dòng)和故障轉(zhuǎn)移

各種故障轉(zhuǎn)移和連接參數(shù)可以通過(guò) S-TAP 控制變更審計(jì)進(jìn)行修改。

CAS 模板

Guardium 提供了一組 CAS 模板，每種類型的數(shù)據(jù)存儲(chǔ)庫(kù)都有一個(gè)。

使用 CAS 模板

本節(jié)介紹如何維護(hù) CAS 模板

CAS 主機(jī)

配置審計(jì)系統(tǒng) (CAS) 主機(jī)配置定義了一個(gè)或多個(gè) CAS 實(shí)例。

CAS 報(bào)告

本節(jié)介紹配置審計(jì)系統(tǒng) (CAS) 報(bào)告。

CAS 狀態(tài)通過(guò)單擊管理>更改監(jiān)控> CAS

狀態(tài) 打開配置審計(jì)系統(tǒng)狀態(tài)