我的工作是IT体系结构,这意味着我专注于项目的早期步骤。 一旦应用程序投入生产,我通常将其留给系统和生产工程师。 例如,对于JVM的微调,我工作过的大多数客户端都具有具备正确技能的人员。
尽管如此,有时我还是需要指甲。 这种情况在两种情况下发生:客户太小而无法拥有这样的专门团队,或者客户的生产团队经验不足以解决当前的问题。 信不信由你,我想到必须告诉WebSphere管理员如何将JAAC连接器连接到LDAP服务器。
无论如何,我总是重视超出常规范围的有关如何处理案件的信息:首先,了解更多信息永远不会有任何伤害。 其次,有时整理生产团队告诉您的内容很方便:有些是真实的东西,有些是多头。 同样,我邀请生产团队学习开发知识,以便他们也可以对告知的内容进行排序。 学习对方的技巧,可以提高不同团队之间的理解力。
免费清单审核
本周,我了解到一个网站,该网站提出了免费的基准测试来审核基础架构的安全性。 该站点是Internet安全中心 。 提议的基准有两个方面:一部分是有关审核内容的文档,一部分是基准工具。 前者可免费下载; 至于第二部分,您必须注册。 本文的其余部分将重点放在文档上。
尽管许多主题永远都是我无法企及的(我永远不会接受保护Oracle数据库的安全),但是我最感兴趣的是一个文档:Apache Tomcat上的基准测试。
该文件包含一些规则,一旦遵守这些规则,它们将使您的产品更加安全。 即使它们中的大多数都是废话,您可以自己考虑一下,该文档还是一个不错的清单。 有些规则真的很有趣,因为恐怕很少执行这些规则,有些是由于疏忽大意,有些是因为缺乏产品知识。
增强功能
CIS提供的清单确实缺少一些内容:
- 风险与统计相关。 许多黑客并未使用某些安全漏洞。 我应该如何确定优先级?
- 与损害相关的风险。 不执行此操作可能造成什么损害? 例如,会话劫持会损害用户与我的应用程序而非服务器的交互
- 交易。 许多安全功能并不总是令人满意的,并且大多数都需要在性能方面进行权衡。 当我浏览商人站点时,对我的通讯进行加密是过分的。 只有在付款阶段才真正需要对信息保密。
规则范例
对于Tomcat,这是审计规则的示例。
将Web内容目录与Tomcat的系统文件分开
Tomcat带有其自己的文件结构,包括webapp应驻留的webapp目录。 但是,没有什么可以阻止Web应用程序位于此目录之外,即使在另一个分区上也是如此。 从安全角度来看,这将避免目录遍历攻击:如果恶意用户获得对webapps目录的访问权限,则他将无权访问服务器。
而且,从维护的角度来看,您可以升级Tomcat,而无需重新部署应用程序。
禁用会话立面回收
Tomcat的模型是在HTTP模型的每个实体上使用外观:请求,响应,会话等。默认情况下,在处理新请求时,将重用Tomcat的基于会话的外观,以优化内存使用。 因此,这可能导致一个新的请求可以访问与之无关的会话信息。 这是一种安全风险,如果要保护服务器安全,应将其关闭。
禁用自动部署
Tomcat的默认行为是拥有一个正在运行的线程来监视webapps目录。 一旦此线程检测到新的战争,它将自动部署它。 在开发环境中,这种操作非常令人愉快。 在生产环境中,有权访问目录的用户可能会在其中放置恶意Web应用程序并自动对其进行部署。 因此,禁用自动部署可提高Tomcat服务器的安全性。
结论
CIS提供的清单非常适合生产和安全工程师使用。 但是,应该仔细评估执行规则的成本,这又是不执行该规则的风险。 这些文档在文档中不够详细,或者根本没有提供。
扫一扫
169
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
