Novell Doc: Sentinel Rapid Deployment 安装指南

5.4 保护 Sentinel 数据

重要说明：由于 Sentinel 服务器中数据的高度敏感性质，应该保证计算机的物理安全，并将其放置在一个安全的网络区域中。要从安全网络之外的事件源收集数据，请使用远程连接器管理器。

对于一些特定组件，必须存储口令，这样当系统需要连接到某资源（如数据库或事件源）时，就可以使用这些口令。既然这样，当存储口令时，将首先对其进行加密以避免未经授权就访问明文口令。

虽然口令会经过加密，但您还是必须注意，为了避免口令泄露，需要保护对存储的口令数据的访问权限。例如，您可以确保未授权用户无法读取包含敏感数据的文件。

文件

advisor_client.xml

数据库身份凭证

数据库身份凭证存储在 <安装目录>/config/server.xml 文件中

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

Advisor 身份凭证

<obj-component id="DownloadComponent">
          <class>esecurity.ccs.comp.advisor.feed.NewAdvClientDownload</class>
      <property name="advisor.downloadfrom.url">https://secure-www.novell.com/sentinel/advisor/advisordata</property>
      <property name="username">admin</property>
      <!-- Set the password (encrypted) using the adv_change_password script -->
      <property name="password">jqhlWIX8HD6GDHVX9FApWg==</property>
<property name="compression.enabled">true</property>
      <!--
        Set the following properties to connect through an HTTP proxy.
        Set the proxy password (encrypted) using the adv_change_password script (make a
        copy of the script and add "-x" to the java cmd line to set the proxy password
        instead of the advisor password.
      -->
      <!--
      <property name="proxy_host"></property>
      <property name="proxy_port"></property>
      <property name="proxy_username"></property>
      <property name="proxy_password"></property>
      -->
        </obj-component>

Configuration.xml

<strategy active="yes" id="jms" location="com.esecurity.common.communication.strategy.jmsstrategy.activemq.ActiveMQStrategyFactory" name="ActiveMQ">
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
    </strategy>

das_binary.xml

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

das_core.xml

 <class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

有些数据库表用于存储口令和证书。这类敏感数据会加密并存储在以下所列的表中。必须限制对这些表的访问权限。

evt_src： evt_src_config 列的数据
evt_src_collector： 列：evt_src_collector_props
evt_src_grp（不确定）： 列：evt_src_default_config
md_config： 列：data
integrator_config： 列：integrator_properties
md_view_config： 列：view_data
esec_content： 列：content_context、content_hash
esec_content_grp_content： 列：content_hash
sentinel_plugin： 列：content_pkg、file_hash

Sentinel Rapid Deployment 存储了配置数据和事件数据。这些数据存储在以下位置：

组件	配置数据的位置	事件数据的位置
Sentinel Rapid Deployment 服务器	数据库表和文件系统（<安装目录>/config）这些配置信息包括加密的数据库、事件源、集成器和口令。	数据库（EVENTS、CORRELATED_EVENTS、EVT_SMRY_、AUDIT_RECORD 表）以及文件系统的以下位置：<安装目录>/data/eventdata 和 <安装目录>/data/raw data 事件数据可以作为分区管理工作的一部分存档在文件系统中。
关联引擎	文件系统（<安装目录>/config）。唯一敏感的配置信息是用于连接到讯息总线的客户端密钥对。	correlation_engine.cache
DAS Core	<安装目录>/config	das_core.cache
DAS Binary	<安装目录>/config	如果数据库出现故障，事件数据可能会被缓存。 das_binary.cache
收集器管理器	文件系统（<安装目录>/config）。唯一敏感的配置信息是用于连接到讯息总线的收集器管理器用户口令。	在发生错误（如讯息总线发生故障或事件溢出）时，事件数据可能会缓存到文件系统中。此事件数据存储在 <安装目录>/data/collector_mgr.cache 目录中。
客户端应用程序	文件系统（安装目录/config）。客户端应用程序不会在其配置文件中存储任何敏感信息。例如，客户端应用程序可以将 ESM 数据导出到一个本地文件系统中。如果加密口令出现在导出的事件源的配置中，则导出的文件中会包含加密口令。尽管口令进行了加密，ESM 导出权限还是仅提供给拥有此特权的可信任用户。	无