Políticas de endurecimiento

Endurecimiento de Tomcat

Tomcat se endurece de la siguiente manera basado en software de código abierto durante la instalación y uso del software del FusionInsight Manager:

• La versión de Tomcat se actualiza a la versión oficial.
• Los permisos en los directorios bajo aplicaciones se establecen en 500 y se admite el permiso de escritura en algunos directorios.
• El paquete de instalación de Tomcat se elimina automáticamente después de instalar el software del sistema.
• La función de despliegue automático está deshabilitada para proyectos en directorios de aplicaciones. Solo se despliegan los proyectos web, cas y client.
• Algunos métodos de http no utilizados están deshabilitados, evitando ataques mediante el uso de los métodos http.
• El puerto de shutdown predeterminado y el comando del servidor de Tomcat se cambian para evitar que los piratas informáticos cierren el servidor y ataquen servidores y aplicaciones.
• Para garantizar la seguridad, se cambia el valor de maxHttpHeaderSize, lo que permite a los administradores del servidor controlar las solicitudes anormales de los clientes.
• El archivo de descripción de la versión de Tomcat se modifica después de instalar Tomcat.
• Para evitar la divulgación de información de Tomcat, los atributos del servidor de Connector se modifican para que los atacantes no puedan obtener información sobre el servidor.
• Los permisos en los archivos y directorios de Tomcat, como los archivos de configuración, archivos ejecutables, directorios de registro y carpetas temporales, están bajo control.
• El reciclaje de facade de sesión está desactivado para evitar fugas de solicitudes.
• LegacyCookieProcessor se utiliza como CookieProcessor para evitar la filtración de datos sensibles en las cookies.

Endurecimiento de LDAP

LDAP se endurece de la siguiente manera después de instalar un clúster:

• En el archivo de configuración LDAP, la contraseña de la cuenta de administrador se cifra mediante SHA. Después de actualizar el OpenLDAP a 2.4.39 o posterior, los datos se sincronizan automáticamente entre los nodos LDAP activo y en espera mediante el mecanismo externo SASL, que impide la divulgación de la contraseña.
• El servicio LDAP del clúster admite el protocolo SSLv3 de forma predeterminada, que se puede utilizar de forma segura. Cuando OpenLDAP se actualiza a 2.4.39 o posterior, LDAP utiliza automáticamente TLS1.0 o posterior para evitar riesgos de seguridad desconocidos.

Endurecimiento de JDK

• Si el proceso del cliente utiliza el algoritmo de encriptación AES256, se requiere un endurecimiento de seguridad de JDK. Las operaciones son las siguientes:

  Obtenga el paquete Java Cryptography Extension (JCE) cuya versión coincida con la de JDK. El paquete JCE contiene local_policy.jar y US_export_policy.jar. Copie los archivos JAR en el directorio siguiente y reemplace los archivos en el directorio.

  • Linux: JDK installation directory/jre/lib/security
  • Windows: JDK installation directory\jre\lib\security
  

  Acceda a la comunidad Open JDK de código abierto para obtener el archivo JCE.

• Si el proceso cliente utiliza el algoritmo de encriptación SM4, el paquete JAR necesita ser actualizado.

  Obtenga SMS4JA.jar en el directorio client installation directory/JDK/jdk/jre/lib/ext/ y copie el paquete JAR en el directorio siguiente:

  • Linux: JDK installation directory/jre/lib/ext/
  • Windows: JDK installation directory\jre\lib\ext\