更新时间:2023-03-17 GMT+08:00

加固策略

加固Tomcat

在FusionInsight Manager软件安装及使用过程中,针对Tomcat基于开源做了如下功能增强:

  • 升级Tomcat版本为官方稳定版本。
  • 设置应用程序webapplications之下的目录权限为500,对webapplications之下的部分目录支持写权限。
  • 系统软件安装完成后自动清除Tomcat安装包。
  • webapplications下针对工程禁用自动部署功能,只部署了web、cas和client-registry三个工程。
  • 禁用部分未使用的http方法,防止被他人利用攻击。
  • 更改Tomcat服务器默认shutdown端口号和命令,避免被黑客捕获利用关闭服务器,降低对服务器和应用的威胁。
  • 出于安全考虑,更改“maxHttpHeaderSize”的取值,给服务器管理员更大的可控性,以控制客户端不正常的请求行为。
  • 安装Tomcat后,修改Tomcat版本描述文件。
  • 为了避免暴露Tomcat自身的信息,更改Connector的Server属性值,使攻击者不易获知服务器的相关信息。
  • 控制Tomcat自身配置文件、可执行文件、日志目录、临时目录等文件和目录的权限。
  • 关闭会话facade回收重用功能,避免请求泄漏风险。
  • CookieProcessor使用LegacyCookieProcessor,避免cookie中的敏感数据泄漏。

加固LDAP

在安装完集群后,针对LDAP做了如下功能增强:

  • LDAP配置文件中管理员密码使用SHA加密,当升级openldap版本为2.4.39或更高时,主备LDAP节点服务自动采用SASL External机制进行数据同步,避免密码信息被非法获取。
  • 集群中的LDAP服务默认支持SSLv3协议,可安全使用。当升级openldap版本为2.4.39或更高时,LDAP将自动使用TLS1.0以上的协议通讯,避免未知的安全风险。

加固JDK

  • 如果客户端程序使用了AES256加密算法,则需要对JDK进行安全加固,具体操作如下:

    获取与JDK版本对应的JCE(Java Cryptography Extension)文件。JCE文件解压后包含“local_policy.jar”和“US_export_policy.jar”。拷贝此jar包到如下路径并替换文件:

    • Linux:“JDK安装目录/jre/lib/security”
    • Windows:“JDK安装目录\jre\lib\security”

    请访问Open JDK开源社区获取JCE文件。

  • 如果客户端程序需要支持SM4加密算法,则需要更新jar包:

    在“客户端安装目录/JDK/jdk/jre/lib/ext/”目录下获取“SMS4JA.jar”,并拷贝到如下目录:

    • Linux:“JDK安装目录/jre/lib/ext/”
    • Windows:“JDK安装目录\jre\lib\ext\”