cas配置详解

配置审计系统(CAS)跟踪并报告服务器环境的变化;例如，修改的配置文件、环境或注册表变量，或其他数据库或操作系统组件，包括数据库管理系统或操作系统使用的可执行文件或脚本。数据在Guardium 系统上可用，可用于报告和警报。

CAS代理

CAS 是安装在数据库服务器上的代理，只要受监视实体发生更改(无论是内容还是所有权或权限)，它都会向Guardium系统报告。您在数据库服务器系统上安装 CAS 客户端，使用与安装 S-TAP® 相同的实用程序。CAS 与 S-TAP 共享配置信息，但每个组件独立运行。在主机上安装 CAS 客户端后，您可以从 Guardium® 门户配置实际的变更审计功能。

CAS 服务器

CAS 服务器是 Guardium 的一个组件，在Guardium系统上运行。它作为一个独立的进程运行，独立于 Tomcat 应用程序服务器。它通过innittab文件进行控制。

CAS 服务器配置为仅使用Guardium系统上的少数可用处理器。CAS 使用的处理器数量是通过使用参数divide_num_of_processors_by确定的。此参数存储在cas.server.config.properties 文件中，其默认值为 2。Guardium 系统上可用处理器的数量除以此值。这确保了即使 CAS 在分配的处理器上使用了 100% 的 CPU，其余处理器也可供其他应用程序使用。

CAS 服务器认证

除了 SSL 提供的基本安全性之外，Guardium 还在数据库服务器上运行的 CAS 客户端上提供 CAS 服务器认证支持。这将保证 CAS 客户端仅与 Guardium 的 CAS 服务器通信。未经身份验证的连接和通用名称 (CN) 不匹配将在 CAS 日志文件中报告。

配置后，当 CAS 服务器启动时，它将加载签名证书和私钥，并将它们分配给它接受连接的服务器套接字。在数据库服务器端，CAS 客户端将支持以下连接模式：

1.非安全连接(use_tls='0')

2.无需身份验证的安全连接(use_tls ='1'，guardium_ca_path=NULL)。此模式强制使用 SSL 作为与 CAS 服务器的通信方式(即使用 SSL 而不使用服务器身份验证)。

3.与服务器身份验证的安全连接(use_tls ='1'，guardium_ca_path=<公钥位置>)。CAS 客户端使用公钥来验证 CAS 服务器。公钥 (ca.cert.pem) 将位于 /etc/pki/certs/trusted 下。

ca.cert.pem - 是一个包含根证书颁发机构证书(自签名)的文件。在等效的浏览器中，那些将是受信任的 CA 证书，例如 VeriSign 等。

所有 gmachine 证书均由根授权机构颁发/签署——这就是它们的验证方式以及信任链的建立方式。

可以使用包含实际公钥文件名的完整路径或仅使用目录名 (/etc/pki/certs/trusted) 设置guardium_ca_path，其中将使用此目录中的所有公钥为了验证服务器。如果使用不包含公钥的文件或目录设置了guardium_ca_path，则连接尝试将失败。

4.通过服务器身份验证和公用名验证实现安全连接。此模式有一个额外的检查，其中来自服务器的证书 CN 与参数 sqlguard_cert_cn 中设置的证书进行比较。如果 sqlguard_cert_cn 为 NULL 或为空，此检查将被禁用。否则，它需要使用与 CN Guardium 的自签名证书 ('gmachine') 相同的设置。

将 SSL 与 CAS 结合使用

您可以将 CAS 代理配置为使用安全套接字层 (SSL) 连接将数据发送到 CAS 服务器。随版本10.5安装的 CAS 服务器符合美国联邦信息处理标准 140-2 (FIPS 140-2) 的要求。只有符合 FIPS 的 CAS 代理才能使用 SSL 与此 CAS 服务器通信。如果您想使用这种方法，您必须将您的 CAS 代理升级到此补丁提供的版本。您还必须在运行 CAS 代理的服务器上安装 IBM Java，并且必须将 CAS 代理配置为使用它。为了使用 FIPS 通信，必须使用基于证书的身份验证。

如果您尝试使用较旧的 CAS 代理通过 SSL 与更新的 CAS 服务器进行通信，您将在 CAS 代理系统的日志文件中看到以下消息：

javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

您可能还会在Guardium系统 上的 CAS 日志文件中看到此消息

javax.net.ssl.SSLHandshakeException: Client requested protocol SSLv3 not
enabled or not supported

如果要在 CAS 代理和 CAS 服务器之间使用非 SSL 连接，可以继续使用现有的 CAS 代理。

模板集

CAS 模板集包含捆绑在一起的项目模板列表，具有共同的目的，例如监视特定类型的数据库(例如，Unix 上的 Oracle)，并且是以下两种类型之一：

仅限操作系统(Unix 或 Windows)

数据库(Unix-Oracle、Windows-Oracle、Unix-DB2、Windows-DB2 等)

数据库模板集始终特定于数据库类型和操作系统类型。

CAS 模板项

单个受监控实体上的监控任务的定义或属性集。用户可以通过创建新的 CAS 模板来定义新的 CAS 测试，或者用户可以使用可以修改的预定义 CAS 模板。

模板项是特定文件或文件模式、环境或注册表变量、操作系统或 SQL 脚本的输出或登录用户列表。任何这些项目的状态都由原始数据反映，即文件的内容或注册表变量的值。CAS 通过检查原始数据的大小或计算原始数据的校验和来检测更改。对于文件，CAS 还可以检查系统级别的更改，例如文件的所有权、访问权限和路径。

在所有单元(收集器和聚合器)由一个管理器管理的联合环境中，收集器和聚合器共享所有模板，并且 CAS 数据可用于报告或漏洞评估。当收集器和聚合器(或恢复存档数据的主机)不是同一管理集群的一部分时，模板不会共享，因此即使存在数据，CAS 数据也不能被漏洞评估使用，以纠正这种使用 export/导入定义以将模板从收集器复制到聚合器(或恢复目标)。

受监控实体

被监控的实际实体可以是文件(其内容和属性)、环境变量或 Windows 注册表的值、操作系统命令或脚本或 SQL 语句的输出

CAS 实例

在特定主机上应用 CAS 模板集(创建该模板集的实例并将其应用于特定主机)

CAS 配置

CAS 配置定义一个或多个 CAS 实例，每个实例标识一个模板集，用于监控该主机上的一组项目。

默认模板集

对于支持的每种操作系统和数据库类型，Guardium 提供了一个预配置的默认模板集，用于监视 Unix 或 Windows 平台上的各种数据库。默认模板集将用作为该模板集类型定义的任何新模板集的起点。模板集类型可以是单独的操作系统(Unix 或 Windows)，也可以是数据库管理系统(DB2®、Informix®、Oracle 等)，它始终由操作系统类型限定 - 例如，UNIX- Oracle 或 Windows-Oracle。Guardium 的漏洞评估中使用了许多预配置的默认模板集，例如，可以检查已知参数、文件位置和文件权限。

您无法修改 Guardium 缺省模板集，但可以克隆它并修改克隆的版本。每个 Guardium 缺省模板集都定义了一组要监视的项目。确保您了解由该默认模板集监控的每个项目的功能和用途，并使用与您的环境相关的项目。定义您自己的模板集后，您可以将该模板集指定为该模板集类型的默认模板集。之后，为该操作系统和数据库类型定义的任何新模板集都将使用您的新默认模板集作为起点进行定义。不会删除为该类型设置的 Guardium 默认模板;它将保持定义，但不会被标记为默认值。

创建模板集以满足特定数据库配置的基本原理

尽管 Guardium 为每种数据库类型提供了预定义的 CAS 模板集，但可能的数据库配置种类繁多，这意味着您可能必须调整预定义的模板集或创建新的模板集以满足生产环境中的所有需求——尤其是在数据库软件和数据文件位置。如果您希望 CAS 监控数据库文件的所有权、权限和更改，您应该计划创建其他模板。

例如，Oracle 的预定义 CAS 模板集包含以下模板：

$ORACLE_HOME/oradata/../.*dbf
$ORACLE_HOME/oradata/../.*ctl
$ORACLE_HOME/oradata/../.*log
$ORACLE_HOME/../init.*.ora

如您所见，这些文件模式模板都以相同的根目录 $ORACLE_HOME 开头(注意：这不一定是在您的数据库服务器上定义的 $ORACLE_HOME 环境变量;CAS 优先使用数据源字段“Database Instance Directory”作为 $ORACLE_HOME 的值)。

在生产环境中，您的 Oracle 数据文件可能与您的日志文件不在同一目录树中，甚至不在同一设备上，并且您的 Oracle 配置文件可能位于另一个位置。

您可以使用绝对路径创建其他 CAS 模板，以允许 CAS 查找和监控所有 Oracle 文件，例如：

/u01/oradata/mydb/*.dbf
/u02/oradata/mydb/*.dbf
/u03/oradata/mydb/*.dbf
/u01/oradata/mydb/*.ctl
/u02/oradata/mydb/*.ctl
/u03/oradata/mydb/*.ctl
/home/oracle11/admin/mydb/bdump/*.log
/home/oracle11/product/11.1/db_1/dbs/init*.ora

您甚至可以使用在您的 Oracle 实例帐户中定义的其他环境变量。例如，如果您将变量定义为 $ORA_DATA1、$ORA_DATA2 和 $ORA_SOFT，您可以使用：

$ORA_DATA1/mydb/*.dbf
$ORA_DATA2/mydb/*.dbf
$ORA_DATA1/mydb/*.ctl
$ORA_DATA2/mydb/*.ctl
$ORA_SOFT/admin/mydb/bdump/*.log
$ORA_SOFT/product/11.1/db_1/dbs/init*.ora

从不同位置获取文件

CAS 模板假定某些文件(例如用户配置文件)位于特定位置。您可以将 CAS 配置为在您使用正则表达式指定的其他位置查找这些文件。要使用此功能，请将user_profile_files参数添加到config目录中的cas.client.config.properties文件中。每个条目的格式是

identifying_string=comma-separated list of files

例如，假设您想在任何 DB2 用户的主目录中查找 .profile 文件。对于此示例，我们假设所有这些主目录的名称都包含字符串“db2”。将此行添加到属性文件：

user_profile_files=.*db2.*=.profile

如果您需要指定多个模式，请使用条形符号 (|) 分隔模式。如果要将 mysql 用户的配置文件添加到上一个条目，请将前面的示例替换为：

user_profile_files=.*db2.*=.profile|.*mysql.*=.profile

先决条件、在 Windows 服务器上安装和运行 CAS

了解 CAS 先决条件以及如何在数据库服务器上安装 CAS 代理

先决条件，在 Linux、UNIX 服务器上安装和运行 CAS

了解 CAS 先决条件以及如何在数据库服务器上安装 CAS 代理

定位 Java 主目录并检查

版本 在安装 CAS 之前定位主目录并检查 Java 版本。

CAS 启动和故障转移

各种故障转移和连接参数可以通过 S-TAP 控制变更审计进行修改。

CAS 模板

Guardium 提供了一组 CAS 模板，每种类型的数据存储库都有一个。

使用 CAS 模板

本节介绍如何维护 CAS 模板

CAS 主机

配置审计系统 (CAS) 主机配置定义了一个或多个 CAS 实例。

CAS 报告

本节介绍配置审计系统 (CAS) 报告。

CAS 状态通过单击管理>更改监控> CAS

状态 打开配置审计系统状态