问题提出: ISMServer由于管理原因授权其他用户有activate及处理profile、element的权限。有天发现ISMServer上面的监控的Profile莫名其妙的被人删了,实在发现这是个安全隐患。
解决: 到$NCHOME/ism/profiles/deleted里面把查询一下,把被删除的profile拷贝到active下面
cd $NCHOME/ism/profile/deleted
cp xxxxxxx.xml ../active
修改passfile的登录密码,进行相应的权限限制
开启日志审计
vi $NCHOME/ism/ismserver/ismserver.props
编辑
auditlog=true
auditlogfile=ismserver_useraudit.log
auditlogfilesize=10000
重启ismserver
./ismserver_stop.sh
nohup ./ismserver_start.sh &
登录ismserver检查是否有日志记录
cd /opt/netcool/log/ism/
[root@ismServer ism]# more ismserver_useraudit.log
13/August/2009:09:32:17 -- 192.168.103.135 ism -- ACTION: LOGOUT -- -- RESULT: SUCCESS
13/August/2009:09:32:24 -- 192.168.103.135 - -- ACTION: LOGIN -- USERNAME: ism PASSWORD: sdlf -- RESULT: FAILURE
13/August/2009:09:32:31 -- 192.168.103.135 ism -- ACTION: LOGIN -- -- RESULT: SUCCESS
[root@ismServer ism]#
可以看到有审计的日志,每天通过此日志审计,用户是否有越权操作,责任到人。
其实最好的方式是把用户的权限限制到最少,什么操作都做不得,至少没有增删的权限。
参考netcool infocenter文章
[@more@]来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/12262773/viewspace-1025236/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/12262773/viewspace-1025236/