WebSphere Application Server depende de varios archivos de configuración que se crean durante
la instalación.
Estos archivos contienen información sobre la contraseña necesitan protección. Los archivos reciben un nivel básico de protección durante la instalación,
pero puede que no sea suficiente para su sitio. Debe comprobar que estos archivos están protegidos
de acuerdo con las políticas de su sitio.
Antes de empezar
Nota: Un archivo de configuración de tabla de claves de Kerberos contiene una lista de claves que son análogas a las contraseñas de usuario. El archivo
keytab predeterminado es krb5.keytab.
Es importante para los hosts proteger sus archivos de tabla de claves de Kerberos almacenándolos en el disco local, así pueden ser legibles sólo para los usuarios autorizados.
Los archivos de raíz_servidor_aplicaciones/profiles/nombre_perfil/config y raíz_servidor_aplicaciones/profiles/nombre_perfil/properties se han de proteger. Por ejemplo, conceda permiso al usuario que inicia la sesión en el sistema
para realizar tareas de administración básicas de WebSphere Application Server. También necesitan permisos
otros usuarios o grupos, por ejemplo, los grupos de la consola o los usuarios de la consola de
WebSphere Application Server.
Los
archivos de los directorios WAS_HOME/config y
WAS_HOME/properties necesitan protección.
Por ejemplo, conceda permiso al usuario que inicia la sesión en el sistema
para realizar tareas de administración básicas de WebSphere Application Server. También necesitan permisos
otros usuarios o grupos, por ejemplo, los grupos de la consola o los usuarios de la consola de
WebSphere Application Server.
![[z/OS]](../images/ngzos.gif)
Los archivos
del directorio
WAS_HOME/properties que deben ser legibles
para todos el mundo:
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
El valor
del directorio WAS_HOME se especifica en la herramienta de gestión de perfiles de
WebSphere z/OS o en el mandato
zpmt cuando se instala WebSphere Application Server para z/OS, tanto para
el producto base como para WebSphere Application Server, Network Deployment.
Procedimiento
Protección de archivos en sistemas
Windows: - Abra el navegador para ver los archivos y directorio que hay en la máquina.
- Localice el archivo o directorio que desea proteger y pulse
con el botón derecho del ratón.
- Pulse Propiedades.
- Pulse la pestaña Seguridad.
- Suprima la entrada Todos y cualquier otro usuario o
grupo que no desea que tenga acceso al archivo.
- Añada los usuarios que puedan acceder a los archivos con el
permiso correcto.
Protección
de archivos en sistemas UNIX. Este procedimiento solamente se aplica al sistema de archivos
UNIX ordinario. Si su sitio utiliza listas de control de acceso, proteja los archivos utilizando este mecanismo. Todo requisito específico del sitio puede afectar al propietario,
al grupo y a los privilegios correspondientes; por ejemplo, en la
plataforma AIX.- Vaya al directorio raíz_instalación y cambie el
propietario de la configuración de directorios y las propiedades para que
pertenezcan al usuario que ha iniciado la sesión en el sistema para realizar tareas
administrativas básicas de WebSphere Application Server. Ejecute el mandato siguiente: chown -R nombre_inicio_sesión nombre_directorio
Donde:
- nombre_inicio_sesión es un usuario o grupo especificado
- nombre_directorio es el nombre del directorio que contiene los archivos
Se recomienda asignar el propietario de los archivos que
contienen información de contraseñas al usuario que ejecuta el servidor de
aplicaciones.
Si
hay varios usuarios que ejecutan el servidor de aplicaciones, otorgue permiso al
grupo al que estén asignados los usuarios en el registro de usuarios.
- Establezca el permiso ejecutando el mandato siguiente:
chmod -R 770 nombre_directorio.
- Vaya al directorio raíz_servidor_apl/profiles/nombre_perfil/properties y establezca los permisos de archivo. Establezca los permisos de acceso de los
siguientes archivos de acuerdo con las directrices de la seguridad
aplicable a sus sistemas.
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
Por ejemplo, puede emitir el siguiente mandato: chmod 770
nombre_archivo donde nombre_archivo es el nombre del
archivo enumerado previamente en el directorio
raíz_instalación/profiles/nombre_perfil/properties.
Estos archivos contienen información confidencial
como, por ejemplo, las contraseñas.
Nota: Si ha habilitado la
autenticación Kerberos o la autenticación web SPNEGO, establezca los
permisos de acceso de los siguientes archivos de acuerdo con las
directrices de seguridad aplicables a sus sistemas: el archivo de
configuración de Kerberos (krb5.conf o krb5.ini) y el
archivo de tabla de claves de Kerberos.
- Cree un grupo para WebSphere Application Server e incluya en dicho grupo a los
usuarios que realicen tareas administrativas de WebSphere Application Server completas o
parciales.
- Si desea utilizar
WebSphere
MQ como proveedor JMS
(Java™
Messaging Service), limite el acceso a los directorios /var/mqm
y archivos de anotaciones cronológicos utilizados. Dé acceso de escritura sólo al ID de usuario mqm o a los
miembros del grupo de usuarios mqm.
Archivos seguros en sistemas WebSphere Application Server para
z/OS. - Utilice la herramienta de gestión de perfiles de WebSphere z/OS o el mandato zpmt y
siga las instrucciones generadas para personalizar el sistema.
Los
trabajos de personalización que se generan realizan las siguientes
funciones:
- Crean los ID de usuario de SAF (System Authorization Facility) de
WebSphere Application Server que son necesarios para los administradores y los procesos de servidor.
- Crean un grupo de configuración de SAF de WebSphere Application Server y
añaden los ID de usuario de SAF de WebSphere Application Server.
- Proporcionan una correlación del principal J2EE (Java 2, Enterprise Edition) con
el ID de usuario de SAF. Puede generar un módulo de correlación
de ejemplo o puede especificar uno que haya creado usted mismo.
- Asocian las tareas iniciadas por WebSphere Application Server con los
ID de usuario y los grupos SAF definidos previamente.
- Rellenan el sistema de archivos con los archivos de propiedades y del
sistema necesarios para ejecutar WebSphere Application Server.
- Cambian la propiedad de estos archivos al administrador de
WebSphere Application Server.
- Crean los permisos de archivos correspondientes.
Todos los archivos del directorio
WAS_HOME/config deben permitir el acceso de lectura y
escritura a todos los miembros del grupo de configuración de
WebSphere Application Server, pero no deben ser accesibles para todos (modalidad
770). Todos los archivos del directorio
WAS_HOME/properties deben permitir el acceso de lectura
y escritura a todos los miembros del grupo de configuración de
WebSphere Application Server. Establezca los permisos de acceso de los
siguientes archivos de acuerdo con las directrices de la seguridad
aplicable a sus sistemas.
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
Por ejemplo, podría emitir el mandato siguiente:
chmod 775 nombre_archivo.
nombre_archivo es el nombre del archivo
enumerado anteriormente. Estos archivos contienen información confidencial
como, por ejemplo, las contraseñas.
Nota: Si ha habilitado la
autenticación Kerberos o la autenticación web SPNEGO, establezca los
permisos de acceso de los siguientes archivos de acuerdo con las
directrices de seguridad aplicables a sus sistemas: el archivo de
configuración de Kerberos (krb5.conf o krb5.ini) y el
archivo de tabla de claves de Kerberos.
- Añada administradores que realizarán tareas de
administración de WebSphere Application Server completas o parciales al
grupo de configuración.
- Limite el acceso a los directorios /var/mqm y a los archivos de registro cronológico necesarios
para la mensajería incorporada de WebSphere Application Server o
WebSphere MQ como
proveedor JMS. Dé acceso de escritura sólo al ID de usuario mqm o a los miembros del grupo de
usuarios mqm.
Resultados
Una vez protegido su entorno, solamente podrán acceder a los archivos aquellos
usuarios que tengan permiso. Si estos archivos no se protegen
correctamente puede haber un riesgo de seguridad en las aplicaciones de
WebSphere Application Server.
Qué hacer a continuación
Si se produce algún error debido a los permisos de acceso a
archivos, compruebe los valores de los permisos.