加固策略

加固Tomcat

在FusionInsight Manager软件安装及使用过程中，针对Tomcat基于开源做了如下功能增强：

• 升级Tomcat版本为官方稳定版本。
• 设置应用程序webapplications之下的目录权限为500，对webapplications之下的部分目录支持写权限。
• 系统软件安装完成后自动清除Tomcat安装包。
• webapplications下针对工程禁用自动部署功能，只部署了web、cas和client-registry三个工程。
• 禁用部分未使用的http方法，防止被他人利用攻击。
• 更改Tomcat服务器默认shutdown端口号和命令，避免被黑客捕获利用关闭服务器，降低对服务器和应用的威胁。
• 出于安全考虑，更改“maxHttpHeaderSize”的取值，给服务器管理员更大的可控性，以控制客户端不正常的请求行为。
• 安装Tomcat后，修改Tomcat版本描述文件。
• 为了避免暴露Tomcat自身的信息，更改Connector的Server属性值，使攻击者不易获知服务器的相关信息。
• 控制Tomcat自身配置文件、可执行文件、日志目录、临时目录等文件和目录的权限。
• 关闭会话facade回收重用功能，避免请求泄漏风险。
• CookieProcessor使用LegacyCookieProcessor，避免cookie中的敏感数据泄漏。

加固LDAP

在安装完集群后，针对LDAP做了如下功能增强：

• LDAP配置文件中管理员密码使用SHA加密，当升级openldap版本为2.4.39或更高时，主备LDAP节点服务自动采用SASL External机制进行数据同步，避免密码信息被非法获取。
• 集群中的LDAP服务默认支持SSLv3协议，可安全使用。当升级openldap版本为2.4.39或更高时，LDAP将自动使用TLS1.0以上的协议通讯，避免未知的安全风险。

加固JDK

• 如果客户端程序使用了AES256加密算法，则需要对JDK进行安全加固，具体操作如下：

  获取与JDK版本对应的JCE（Java Cryptography Extension）文件。JCE文件解压后包含“local_policy.jar”和“US_export_policy.jar”。拷贝此jar包到如下路径并替换文件：

  • Linux：“JDK安装目录/jre/lib/security”
  • Windows：“JDK安装目录\jre\lib\security”
  

  请访问Open JDK开源社区获取JCE文件。

• 如果客户端程序需要支持SM4加密算法，则需要更新jar包：

  在“客户端安装目录/JDK/jdk/jre/lib/ext/”目录下获取“SMS4JA.jar”，并拷贝到如下目录：

  • Linux：“JDK安装目录/jre/lib/ext/”
  • Windows：“JDK安装目录\jre\lib\ext\”