5.4 保護 Sentinel 資料

重要:因為 Sentinel 伺服器上之資料的高度機密本質,您應該確保機器的實體安全,並將機器連接到安全的網路區域。若要從安全網路以外的事件來源收集資料,請使用遠端「收集器管理員」。

對於特定元件,您必須儲存密碼,以便在系統需要連接到特定資源 (例如,例如資料庫或事件來源) 時使用。在此案例中,當您儲存密碼時,會先將密碼加密以避免未經授權的使用者存取明文密碼。

即使密碼已經過加密,您仍必須小心地設定對於所儲存密碼資料的存取權,以避免密碼曝光。例如,您可以確定未經授權的使用者無法讀取包含機密資料之檔案上的權限。

檔案

advisor_client.xml

資料庫身分證明

資料庫身分證明儲存在 <安裝目錄>/config/server.xml 檔案中

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

Advisor 身分證明

<obj-component id="DownloadComponent">
          <class>esecurity.ccs.comp.advisor.feed.NewAdvClientDownload</class>
      <property name="advisor.downloadfrom.url">https://secure-www.novell.com/sentinel/advisor/advisordata</property>
      <property name="username">admin</property>
      <!-- Set the password (encrypted) using the adv_change_password script -->
      <property name="password">jqhlWIX8HD6GDHVX9FApWg==</property>
<property name="compression.enabled">true</property>
      <!--
        Set the following properties to connect through an HTTP proxy.
        Set the proxy password (encrypted) using the adv_change_password script (make a
        copy of the script and add "-x" to the java cmd line to set the proxy password
        instead of the advisor password.
      -->
      <!--
      <property name="proxy_host"></property>
      <property name="proxy_port"></property>
      <property name="proxy_username"></property>
      <property name="proxy_password"></property>
      -->
        </obj-component>

Configuration.xml

<strategy active="yes" id="jms" location="com.esecurity.common.communication.strategy.jmsstrategy.activemq.ActiveMQStrategyFactory" name="ActiveMQ">
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
    </strategy>

das_binary.xml

<class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

das_core.xml

 <class>esecurity.base.ccs.comp.dataobject.ConnectionManager</class>
    <property name="username">appuser</property>
    <property name="password">7fA+ogBMeK7cRbJ+S6xJ/InLBUi+sRVGK5qYycDxfIqGDHVX9FApWg==</property>

部分資料庫表格會儲存密碼與證書。此機密資料已加密,並會儲存在下面列出的表格中。您必須限制對於這些資料表的存取權。

Sentinel Rapid Deployment 會儲存組態資料與事件資料。此資料儲存在下列位置:

元件

組態資料的位置

事件資料的位置

Sentinel Rapid Deployment 伺服器

資料庫表格與檔案系統 (<安裝目錄>/config)

此組態資訊包含加密的資料庫、事件來源、整合器與密碼。

資料庫 (EVENTS、CORRELATED_EVENTS、EVT_SMRY_ 及 AUDIT_RECORD 表格) 與檔案系統的以下位置︰<安裝目錄>/data/eventdata 與 <安裝目錄>/data/raw data

事件資料可在分割區管理工作中歸檔到檔案系統。

關連引擎

檔案系統 (<安裝目錄>/config)。唯一的機密組態資訊是用於連接到訊息匯流排的用戶端金鑰組。

correlation_engine.cache

DAS 核心

<安裝目錄>/config

das_core.cache

DAS 二進位檔案

<安裝目錄>/config

若資料庫已關閉,系統可能會快取事件資料。

das_binary.cache

收集器管理員

檔案系統 (<安裝目錄>/config)。唯一的機密組態資訊是用於連接至訊息匯流排的收集器管理員使用者密碼。

發生錯誤時 (例如訊息匯流排 已關閉或事件溢位),系統可能會將事件資料快取在檔案系統上。此事件資料儲存在 <安裝目錄>/data/collector_mgr.cache 目錄中。

用戶端應用程式

檔案系統 (安裝目錄/config)。用戶端應用程式不會在其組態檔案中儲存任何機密資訊。

例如,用戶端應用程式可以將 ESM 資料輸出到本機檔案系統。輸出的檔案包含加密的密碼 (如果它們存在於輸出的事件來源組態中)。雖然密碼已加密,您應該只將 ESM 輸出權限授予信任的使用者。