快捷搜索:  as  2018  FtCWSyGV  С˵  test  xxx  Ψһ  w3viyKQx

澳门威尼l斯人网址_博格自动化网进入



14. 斟酌对 Web 办事器到 WebSphere Application Server 的 HTTP 链路进行身份验证

WebSphere Application Server Web 办事器插件将来自 Web 办事器的哀求转发到目标利用办事器。在默认环境下,假如到 Web 办事器的通信是经由过程 HTTPS 完成的,则插件在将哀求转发到利用办事器时会自动地应用 HTTPS,从而保护其机密性。

别的,更审慎的做法是将利用办事器(它包孕一个小的嵌入式 HTTP 监听器)设置设置设备摆设摆设为只吸收来自已知 Web 办事器的哀求。这可以防止各类绕过 Web 办事器前或 Web 办事器中的任何安然性反省的阴郁进击,创建一个可托的收集路径。这种环境看似不太可能呈现,但确凿存在这种可能性。无法逐澳门威尼l斯人网址一枚举所有场景,下面是一些例子:

有一个身份验证代理办事澳门威尼l斯人网址器,它仅仅将用户 ID 作为 HTTP 头发澳门威尼l斯人网址送出去,而不发送任何身份验证信息。可以直接造访 Web 容器的入侵者只必要供给这一相同的头,就可以成为任何人。(IBM Tivoli Access Manager WebSEAL 不存在这种破绽。)

有一个代理办事器,它履行紧张的授权,以很粗的粒度限定谁可以造访什么利用法度榜样。

有一个代理办事器,它履行紧张的审计,不盼望它被绕过。

像前一小节评论争论的一样,应用客户机证书向 Web 办事器验证身份。

要创建从 Web 办事器到利用办事器的可托收集路径,必要设置设置设备摆设摆设利用办事器 Web 容器 SSL 设置设置设备摆设摆设以应用客户机身份验证。一旦确保了正在应用客户机身份验证,就必要确保只有可托的 Web 办事器才能联系 Web 容器。要实现这一点,必须经由过程利用 只应用 SSL 限定造访 中先容的 SSL 技术来限定具有造访权限的群体。详细地说,必要履行以下操作:

为 Web 容器创建一个密钥存储库和相信存储库,为 Web 办事器插件创建一个密钥存储库。

从所有密钥存储库(包括相信存储库)删除所有现有的署名证书。此时,不能应用任何密钥存储库来查验证书。这样做是故意的。

在这两个密钥存储库中创建自署名证书,并只导出该证书(而不是私钥)。必然要记录这些证书的到期光阴。当插件证书到期之后,它就不能联系 Web 容器了!将从 Web 容器密钥存储库中导出的证书导入到插件密钥存储库中。将插件证书导入到 Web 容器相信存储库中。现在,每一端都只包孕一个署名证书。这意味着只能应用它们查验一个证书 —— 为对方创建的自署名证书。

将新创建的密钥存储库安装到 Web 容器和 Web 办事器插件中。

15. 不要在临盆情况中运行示例

WebSphere Application Server 附带了几个异常好的示例,它们演示 WebSphere Application Server 的各个部分。这些示例不是为在临盆情况中应用筹备的。不要在临盆情况中运行它们,由于它们会带来严重的安然风险。分外是 showCfg 和 snoop Servlet 会向外部职员供给大年夜量关于您的系统的信息。这恰是您不盼望潜在的入侵者得到的信息。只要不在临盆情况中运行 server1(它包孕这些示例),就很轻易办理这个问题。假如应用的是 WebSphere Application Server Base,实际上应该从 server1 中删除这些示例。

16. 选择相宜的进程身份

WebSphere Application Server 进程是在操作系统上运行的,是以必须在某个操作系统身份下运行。有三种运行 WebSphere Application Server 的要领与操作系统身份有关:

以 root 身份运行统统法度榜样。

以单一用户身份(例如 “was”)运行统统法度榜样。

以 root 身份运行节点代理,以利用办事器自己的身份运行各个利用办事器。

IBM 测试过并完全支持前面两种措施。第三种措施看似很有吸引力,由于那样就可以使用操作系统权限,但它在实践中不是异常有效,这有以下几点缘故原由:

设置设置设备摆设摆设它异常艰苦,而且历程没有文档阐明。许多 WebSphere Application Server 进程都必要对无数文件具有读造访权限,并对 log 和 transaction 目录具有写造访权限。

经由过程以 root 身份运行节点代理,实际上会向 WebSphere Application Server 治理员和在 WebSphere Application Server 中运行的任何利用法度榜样赋予 root 权限。

这种措施的主要代价在于节制利用法度榜样对文件系统的造访。然则,应用 Java 2 权限也可以实现这一点。

这种措施会造成利用法度榜样相互隔离的错觉。着实不是。WebSphere Application Server 内部安然模型基于 J2EE 和 Java 2 安然性,不受操作系统权限的影响。是以,假如选择应用这种措施来保护自己免受 “恶意” 利用法度榜样的损害,则措施的偏向错了。

第一种措施显着是弗成取的,由于作为一样平常的最佳实践,假如可以的话,最好避免以 root 身份运行任何进程。这样就只剩下第二种措施,它是完全受支持的。在某些很少见的环境下,并不关心利用法度榜样隔离,然则盼望以不合的操作系统身份运行利用法度榜样以便审计,那么可以应用第三种措施。这从安然性的角度来看没有代价,而且实际上会略微增添风险,然则有可能应用操作系统级审计。

17. 保护设置设置设备摆设摆设文件和私钥

对付限定权限也不要过于走极度。我们见过异常多这种环境:在开拓时代,以致不容许开拓职员查看利用办事器日志文件。这种极度做法完全没有需要。当然,在临盆时代,应该尽可能地保护 WebSphere Application Server。然则,在开拓时代,实现最大年夜的安然性是不需要的,会影响开拓职员的临盆力。

应该使用操作系统文件权限来限定对 WebSphere Application Server 文件的文件系统造访。与任何繁杂的系统一样,WebSphere Application Server 应用和掩护大年夜量敏感信息。一样平常来讲,不应该有人对大年夜多半 WebSphere Application Server 信息具有读或写权限(见边栏)。分外是 WebSphere Application Server 设置设置设备摆设摆设文件 (/config),它既包孕设置设置设备摆设摆设信息,也包孕密码。

别的,应该留意避免不小心共享密钥。例如,不要在临盆情况中应用与其他情况中相同的密钥。许多人对开拓和测试谋略机及他们自己的密钥有造访权限。应该审慎地保护临盆情况用的密钥。

假如不审慎地节制谁对文件系统有写造访权限,用户只需手工编辑设置设置设澳门威尼l斯人网址备摆设摆设文件,就可以破坏产品的安然性节制(比如审计)。

18. 加密从 WebSphere Application Server 到 LDAP 的链路

当应用 LDAP 注册表时,WebSphere Application Server 会应用标准的 ldap_bind 来验证用户密码。这要求 WebSphere Application Server 将用户密码发送到 LDAP 办事器。假如该哀求没有加密,则黑客可以应用收集嗅探器来偷取用于身份验证的用户密码(包括治理密码!)。大年夜多半 LDAP 目录都支持 LDAP over SSL,并且可以把 WebSphere Application Server 设置设置设备摆设摆设为应用它。在 LDAP 用户注册外面板中(请拜见图 7),选中 SSL enabled 选项,然后设置设置设备摆设摆设得当您的 LDAP 目录的 SSL 设置设置设备摆设摆设。很可能必要将用于 LDAP 办事器证书的署名密钥(证书)放在相信存储库中。最好是创建只供 LDAP 应用的新的 SSL 设置设置设备摆设摆设,以避免给当前应用 SSL 的其他领域造成问题。

图 7. 启用 LDAP SSL

假如应用定制的注册表,显然必要应用任何可用的机制来保护该通信流。

19. 确保只经由过程 HTTPS 传输 LTPA cookie

Web 利用法度榜样应用 cookie 跨哀求跟踪用户。只管这些 cookie 本身平日不包孕敏感信息,然则它们把用户与后端系统上用户的现有状态联系起来,假如入侵者捕获了您的 cookie,他们就有可能应用这个 cookie 冒充成您。由于收集通信流经常经由过程弗成信的收集传输(斟酌一下您爱好的 WiFi 热区),数据包很轻易被捕获,以是应该应用 SSL 加密紧张的 Web 通信流。这包括紧张的 cookie。显然,假如所有哀求都应用 SSL,cookie 就会获得保护。然则,许多利用法度榜样(可能有时)经由过程 HTTP 发送哀求,而没有应用 SSL,这就可能裸露 cookie。幸运的是,HTTP 规范容许指定浏览器只经由过程 SSL 发送 cookie。

对付 WebSphere Application Server,最紧张的 cookie 是 LTPA cookie,是以,它应该设置设置设备摆设摆设为只经由过程 SSL 发送。

图 8. 把 LTPA cookie 限定为只应用 SSL

经由过程在会话治理面板上指定相似的设置,还可以把 HTTP Session(默认环境下是 JSESSION) cookie 限定为只应用 SSL。

警告:在安装 APAR PM00610 之前,Requires SSL 标志在 WebSphere Application Server V7 中无效。必然要安装它。

20. 确保按期改变 LTPA 加密密钥

WebSphere Application Server 应用 LTPA 加密密钥加密各类用户令牌(包括 LTPA cookie)。与任何密码术密钥一样,应该按期改变这些密钥。根据 WebSphere Application Server 和补丁级别不合,自动密钥天生在默认环境下可能启用了,也可能关闭了;版本越新,默认环境下它关闭的可能性越大年夜。

应该确保按期改变 LTPA 加密密钥。可以启用自动 LTPA 密钥调澳门威尼l斯人网址换(见图 9),也可以手工地从新天生密钥(见图 10)。无论选择哪种要领,必然要斟酌 LTPA 密钥不同等的问题:

首先,假如谋略单元中的某些节点在一段光阴(比如密钥寿命的两倍)内不停停机,它们就会丢掉通信能力。

第二,假如与其他组件(比如另一个谋略单元或 WebSphere DataPower)共享 LTPA 密钥,那么在改变密钥时,就必要在所有地方更新它们,这平日会造成停机。

您可能还会对下面的文章感兴趣: