MRS集群加固策略说明
加固Tomcat
在FusionInsight Manager软件安装及使用过程中,针对Tomcat基于开源做了如下功能增强:
- 升级Tomcat版本为官方稳定版本。
- 设置应用程序之下的目录权限为500,对部分目录支持写权限。
- 系统软件安装完成后自动清除Tomcat安装包。
- 应用程序目录下针对工程禁用自动部署功能,只部署了web、cas和client三个工程。
- 禁用部分未使用的HTTP方法,防止被他人利用攻击。
- 更改Tomcat服务器默认shutdown端口号和命令,避免被黑客捕获利用关闭服务器,降低对服务器和应用的威胁。
- 出于安全考虑,更改“maxHttpHeaderSize”的取值,给服务器管理员更大的可控性,以控制客户端不正常的请求行为。
- 安装Tomcat后,修改Tomcat版本描述文件。
- 为了避免暴露Tomcat自身的信息,更改Connector的Server属性值,使攻击者不易获知服务器的相关信息。
- 控制Tomcat自身配置文件、可执行文件、日志目录、临时目录等文件和目录的权限。
- 关闭会话facade回收重用功能,避免请求泄漏风险。
- CookieProcessor使用LegacyCookieProcessor,避免cookie中的敏感数据泄漏。
加固LDAP
在安装完集群后,针对LDAP做了如下功能增强:
- LDAP配置文件中管理员密码使用SHA加密,当升级openldap版本为2.4.39或更高时,主备LDAP节点服务自动采用SASL External机制进行数据同步,避免密码信息被非法获取。
- 集群中的LDAP服务默认支持SSLv3协议,可安全使用。当升级openldap版本为2.4.39或更高时,LDAP将自动使用TLS1.0以上的协议通讯,避免未知的安全风险。
加固JDK
- 如果客户端程序使用了AES256加密算法,则需要对JDK进行安全加固,具体操作如下:
获取与JDK版本对应的JCE(Java Cryptography Extension)文件。JCE文件解压后包含“local_policy.jar”和“US_export_policy.jar”。复制此jar包到如下路径并替换文件:
- Linux:“JDK安装目录/jre/lib/security”
- Windows:“JDK安装目录\jre\lib\security”
请访问Open JDK开源社区获取JCE文件。
- 如果客户端程序需要支持SM4加密算法,则需要更新Jar包:
在“客户端安装目录/JDK/jdk/jre/lib/ext/”目录下获取“SMS4JA.jar”,并复制到如下目录:
- Linux:“JDK安装目录/jre/lib/ext/”
- Windows:“JDK安装目录\jre\lib\ext\”