更新时间:2023-09-18 GMT+08:00
安全加固
加固Tomcat
在FusionInsight Manager使用过程中,针对Tomcat基于开源做了如下功能增强:
- 升级Tomcat版本为官方稳定版本。
- 设置应用程序之下的目录权限为500,对部分目录支持写权限。
- 系统软件安装完成后自动清除Tomcat安装包。
- 应用程序目录下针对工程禁用自动部署功能,只部署了web、cas和client三个工程。
- 禁用部分未使用的HTTP方法,防止被他人利用攻击。
- 更改Tomcat服务器默认shutdown端口号和命令,避免被黑客捕获利用关闭服务器,降低对服务器和应用的威胁。
- 出于安全考虑,更改“maxHttpHeaderSize”的取值,给服务器管理员更大的可控性,以控制客户端不正常的请求行为。
- 安装Tomcat后,修改Tomcat版本描述文件。
- 为了避免暴露Tomcat自身的信息,更改Connector的Server属性值,使攻击者不易获知服务器的相关信息。
- 控制Tomcat自身配置文件、可执行文件、日志目录、临时目录等文件和目录的权限。
- 关闭会话facade回收重用功能,避免请求泄漏风险。
- CookieProcessor使用LegacyCookieProcessor,避免cookie中的敏感数据泄漏。
加固LDAP
MRS集群中针对LDAP做了如下功能增强:
- LDAP配置文件中管理员密码使用SHA加密,当升级openldap版本为2.4.39或更高时,主备LDAP节点服务自动采用SASL External机制进行数据同步,避免密码信息被非法获取。
- 集群中的LDAP服务默认支持SSLv3协议,可安全使用。当升级openldap版本为2.4.39或更高时,LDAP将自动使用TLS 1.0以上的协议通讯,避免未知的安全风险。
其它安全加固
其它一些集群安全加固指导请参见安全加固。
父主题: 安全