Статьи

Закрепление вашего GlassFish. Руководство по закалке.

Если вы серьезно думаете о запуске GlassFish в производственной среде вашего ищете какую — то информацию об обеспечении его. Большинство в основном вы могли бы сделать то , что кажется правильным для вашего и начать с безопасной установки, подумайте о брандмауэрах и защищенных приложений. И это в принципе правильно. Но вы когда-нибудь задумывались о том, почему? Я сделал. В дальнейшем я проверил GlassFish, и вот руководство по упрочнению для вашей установки GlassFish. У меня нет никакой специальной версии в виде, поэтому большинство из них должно работать , начиная с v3.

Руководство по информационной безопасности

Изображение CC BY-NC 2.0 , аннамагал

Работа и бизнес-процессы все больше основываются на ИТ-решениях. По этой причине, безопасности и надежности информационных и коммуникационных технологий, доходы более и более важное значение. Вы просто должны смотреть на то, что случилось с сетью в последнее время и приставки вы получите ощущение о том, что ИТ-безопасность может означать для вашего бизнеса. Я всегда думал об этом как всеобъемлющий перечень вещей, чтобы сделать, чтобы обеспечить безопасную среду. Простые и скучные вещи. И это, почему я был на охоте на наиболее полный список я могу получить, чтобы сделать свои собственные установки GlassFish как можно более безопасным. Назовите меня невиновным, и вы правы. Но: Эй, я простой разработчик. Давайте начнем с основ. IT-безопасность — это намного больше, чем простые контрольные списки. Это полный набор методов, процессов, процедур,подходы и меры, касающиеся информационной безопасности. Наиболее полная стандартная работа — Федеральное ведомство по информационной безопасности Германии (BSI).
IT-Grundschutz . Целью ИТ-Grundschutz является достижение необходимого уровня безопасности для всех типов информации организации. Он использует целостный подход к этому процессу. При правильном применении хорошо зарекомендовавших себя технических, организационных, кадровых и инфраструктурных гарантий. Я настоятельно рекомендую прочитать немного об этом. То , что я быстро хочу погрузиться в это так называемом «IT-Grundschutz Каталоги» , поскольку они содержат необходимые гарантии безопасности , которые поддерживают системный подход к ИТ-безопасности. Не пойми меня неправильно. Это «простая» часть этого. Работа со стандартными темами и каталогами — это основы. Для полного решения BSI Обзор получить кофе и поговорить с офицером безопасности.

Сеть и рыба

Первая важная часть уведомления является то , что вы должны занять некоторое время , чтобы рассмотреть ваши потребности в области безопасности. Есть много винтов для затяжки, и вы должны убедиться, что используете правильные. Мне пришла в голову картина, если я подумал об этом: рыболовная сеть может стать символом вашей инфраструктуры. Это держит ваши GlassFishes на месте и предотвращает их от нападений акул. А ваш GlassFish позаботится о вашем Java-приложении, работающем внутри него. Итак, первое и очевидное, что нужно проверить — это инфраструктура. Типичный GlassFish не плавает в дикой природе. Он спрятан за обратным прокси, который находится внутри
DMZ, Если я говорю «система закаливания» здесь, это самый основной процесс безопасности вы должны применить к GlassFishes , живущему в подобных ситуациях. В зависимости от ваших потребностей в области безопасности, вы должны расширить список для ваших нужд.

Предпосылки

Закалка один GlassFish экземпляр бесполезен, если вы работаете его где — нибудь. Самая слабая точка вашей инфраструктуры определяет ваш общий уровень безопасности. Таким образом, первое , что нужно проверить, если ваше оборудование находится в актуальном состоянии (да, я говорю о BIOS и прочее здесь) , и если операционная система , которую вы используете затвердевает на всех. Не забывайте о сети (брандмауэры, коммутаторы и т.д.). Если не. Прекратите читать и проверьте с парнями, которые ответственны за это.

Мысли о надежности пароля

Надежность пароля является мерой эффективности пароля в противостоянии угадыванию и атакам методом перебора. В своей обычной форме, он оценивает , сколько попыток злоумышленнику , который не имеет прямой доступ к паролю будет необходим, в среднем, чтобы правильно угадать его. Сила пароля является функцией длины, сложности и непредсказуемости. (Источник:
wikipedia.org ) Всякий раз, когда я говорю о смене пароля, думайте о снятии надежного пароля!

Закалка основы с GlassFish

Перед тем, как начать делать все , что вы должны думать о концепции безопасности. Да. Документация материал. Вам нужно записать, что вы собираетесь делать и почему. «Какие ресурсы я защищаю?» и «От кого я защищаю ресурсы?». Готово? Хорошо. Давайте начнем.

Установите обновленную и полностью исправленную версию Java.

Есть много способов сделать это. Получить последние биты, сравнить контрольные суммы и применить все патчи.

Настройка среды

Очень важно с точки зрения безопасности не запускать сервер Glassfish от имени пользователя root. Это означает , что вам нужно создать пользователя с ограниченными правами , которые вы можете использовать для запуска GlassFish. Хорошая идея — иметь пользователя «gfish», принадлежащего к группе «gfishadm». Эта группа является единственным разрешено администрировать полную GlassFish установки , включая файлы. Обратите внимание, что вы не собираетесь запускать GlassFish на порт 80 , как не суперпользователя. Но это совсем не плохо. В принципе для системы закаливания можно предположить, что все « по умолчанию» плохие. Так что вы все равно не хотите запускать его там:
)

Установите последнюю дату и полностью исправленную версию GlassFish

Do не начать с одной из старых архивов , загруженных недель назад. Посетите
glassfish.org или
oracle.com/goto/glassfish, чтобы получить последние сведения. Проверьте хеши md5 и убедитесь, что вы действительно получили правильные. Перепроверьте с
критическими обновлениями патч сайтом и убедитесь , что у вас есть последние обновления безопасности на месте.

Настройте свои порты

Как я уже говорил: старайтесь избегать настроек по умолчанию. Какие бы порты ни назначались вашей базовой установке; изменить их. Даже если вы найдете множество инструментов для запроса системных портов, все равно считается хорошей практикой перетасовывать порты вокруг.

Ограничить доступ к портам http / https

Обратитесь к вам, ребята из вашей сети, чтобы ограничить доступ к вашему серверу GlassFish только через порт http / https. Все остальные порты (admin-listener) должны быть заблокированы и доступны только с локального узла или узлов кластера. Вы можете положиться на продукт внешнего брандмауэра или настроить брандмауэр системы (например, iptables) соответствующим образом.

Обеспечение безопасности консоли администратора

Если вы решили не защитить администратор-слушатель на уровне сети Вам необходимо включить безопасные функции администрирования. Функция
безопасного администрированияпозволяет администратору обеспечить всю административную связь между сервером администрирования домена (DAS), любыми удаленными экземплярами и клиентами администрирования , такими как утилита asadmin, консоли администрирования, и клиентами REST. Кроме того, безопасное управление помогает предотвратить DAS-к-DAS и экземпляр к-например трафик, и тщательно ограничивает администрирование-клиент-трафик , например.

Изменить мастер-пароль

Glassfish использует мастер — пароль для защиты домена зашифрованных файлов от несанкционированного доступа, то есть в хранилище сертификатов , который содержит сертификаты HTTPS связи. Каждое действие asadmin требует его успешного выполнения. Вы должны решить , если вы кладете установку в интерактивном или не интерактивном способе для мастер — пароль вызова. Для запуска демона автозапуска, вероятно, нужен сохраненный мастер-пароль.

Изменить пароль администратора

То же самое с паролем администратора. У вас также есть возможность поместить это в файл паролей для «автоматического входа». В зависимости от конфигурации вашей сети, вашего анализа потоков (от которого я защищаю систему) это может быть нормально. Но я советую вам не использовать никаких доступных функций автоматического входа.

Слово о сертификатах

Обычно вы не конфигурируете сертификаты SSL с вашим экземпляром GlassFish. Это делается с помощью обратного прокси и имеет несколько преимуществ. У вас немного меньше нагрузки на ваш экземпляр, вам не нужно заниматься настройкой ssl и сертификатов. Если вы непосредственно завершение вашего SSL соединения с GlassFish, вы должны изменить записи хранилища ключей соответственно. И, конечно, вы должны изменить пароль хранилища ключей.

Скрытие вашей личности

Как и многие серверы, GlassFish немного болтлив. Заголовки ответа содержат некоторую информацию , которая не должна быть обнародована , чтобы предотвратить целенаправленные атаки.

X-Powered-By: Servlet/3.0, JSF/2.0
Server: GlassFish Server Open Source Edition 3.0.1

Вы можете отключить эту функцию, отключив «XPowered By:» заголовок с HTTP-слушателем и путем добавления JVM-Option -Dproduct.name = «».

Extended Закалка

Если вы выполнили большинство основных частей закалки, вы могли бы также начать и заботиться о следующих пунктах.

Удалить неиспользуемые компоненты / услуги

Минимизация установку GlassFish Server , путем
удаления компонентов , которые вы не используете и не намерены использовать. Каждый компонент, который вы удаляете, снижает риск взлома. Это нуждается в целом много знаний о вещах вы работаете с GlassFish.

Определите работу с инструментами обновления и pkg

Подумайте о небольшом процессе работы с инструментами обновления и pkg. Вы должны отключить проверку обновлений для консоли администратора (-Dcom.sun.enterprise.tools.admingui.NO_NETWORK = истина) или , возможно , полностью удалить его из дистрибутива.

Администратор сервера и экземпляры

Начиная с 3.1 вы можете иметь экземпляры рядом админ сервера. Лучше всего вообще не запускать никаких приложений на сервере администратора. Таким образом, у вас должна быть концепция запуска приложений на экземплярах и кластерах. Вы могли бы также думать о полностью выключая сервер администратора на срок вам это нужно , за исключением.

Включить аутентификацию и аудит авторизации.

Аудит — это процесс записи ключевых событий безопасности в вашей среде GlassFish Server. Вы используете модули аудита для разработки контрольного журнала всех решений по аутентификации и авторизации. Вы должны отслеживать все соответствующие события с помощью
функций ведения журнала аудита .

Проверка целостности файла

Есть несколько инструментов для проверки целостности вашей установки. Начиная с простых охотников за руткитами, вы также найдете несколько коммерческих решений (например, tripwire). Подумайте об использовании такого инструмента для защиты целостности вашей установки.

Нижняя линия

Это очень не интуитивная тема. Вы должны иметь очень подробные знания о продукте вы пытаетесь защитить и полную инфраструктуру. Если вы призваны , чтобы укрепиться GlassFish убедитесь , чтобы понять потребности в безопасности и сделать оценку о рисках вы должны заботиться. И это командная игра. Одного закаленного GlassFish явно недостаточно.

Ссылки и литература

BSI-Стандарты

Руководство по ИТ — безопасности (PDF)

Oracle GlassFish Server 3.1 Руководство по безопасности

Установка Glassfish 3.0.1 на Ubuntu

Установка Glassfish 3.1 на Ubuntu 10.04 LTS

 

От http://blog.eisele.net/2011/05/securing-your-glassfish-hardening-guide.html