Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ MapReduce Service/ Descripción general del servicio/ Seguridad/ Mejoras de seguridad
Actualización más reciente 2023-04-14 GMT+08:00
Ver PDF
Compartir

Mejoras de seguridad

Mejoras de Tomcat

Durante la instalación y el uso del Administrador de FusionInsight, las siguientes funciones de Tomcat se mejoran sobre la base de la versión de código abierto:
  • Tomcat se ha actualizado a una versión oficial estable.
  • Los permisos en los directorios bajo aplicaciones se establecen en 500 y se admite el permiso de escritura en algunos directorios.
  • El paquete de instalación de Tomcat se elimina automáticamente después de instalar el software del sistema.
  • La función de despliegue automático está deshabilitada para proyectos en directorios de aplicaciones. Solo se implementan los proyectos web, cas y client.
  • Algunos métodos http no utilizados están deshabilitados, evitando ataques que se pueden lanzar mediante el uso de los métodos http.
  • El puerto de apagado predeterminado y el comando del servidor de Tomcat se cambian para evitar que los piratas informáticos cierren el servidor y ataquen el servidor y las aplicaciones.
  • Para garantizar la seguridad, se cambia el valor de maxHttpHeaderSize, lo que permite a los administradores del servidor controlar las solicitudes anormales de los clientes.
  • El archivo de descripción de la versión de Tomcat se modifica después de instalar Tomcat.
  • Para evitar la divulgación de información de Tomcat, los atributos del servidor de Connector se modifican para que los atacantes no puedan obtener información sobre el servidor.
  • Los permisos en los archivos y directorios de Tomcat, como los archivos de configuración, archivos ejecutables, directorios de registro y carpetas temporales, están bajo control.
  • El reciclaje de fachadas de sesión está desactivado para evitar fugas de solicitudes.
  • LegacyCookieProcessor se utiliza como CookieProcessor para evitar la filtración de datos sensibles en las cookies.

Mejora de LDAP

LDAP se endurece de la siguiente manera después de instalar un clúster:
  • En el archivo de configuración LDAP, la contraseña de la cuenta de administrador se cifra mediante SHA. Después de actualizar el OpenLDAP a 2.4.39 o posterior, los datos se sincronizan automáticamente entre los nodos LDAP activo y en espera mediante el mecanismo externo SASL, que impide la divulgación de la contraseña.
  • El servicio LDAP del clúster admite el protocolo SSLv3 de forma predeterminada, que se puede utilizar de forma segura. Cuando OpenLDAP se actualiza a 2.4.39 o posterior, LDAP utiliza automáticamente TLS1.0 o posterior para evitar riesgos de seguridad desconocidos.

Otra mejora de seguridad

Para obtener más información sobre otras guías de refuerzo de seguridad, consulte Mejora de seguridad.

Tema principal: Seguridad