WebSphere
Application Server s'appuie sur divers fichiers de configuration créés pendant l'installation.
Ces fichiers contiennent des informations
sur les mots de passe et doivent être protégés. Bien que ces fichiers soient protégés
à un niveau limité lors de l'installation, ce niveau de protection de base n'est
probablement pas suffisant pour votre site.
Nous vous conseillons de vérifier que ces fichiers sont
protégés en respectant les règles de votre site.
Avant de commencer
Remarque : Un fichier de configuration de clés Kerberos contient
la liste des clés analogues aux mots de passe utilisateur. Le fichier de clés
par défaut est krb5.keytab. Il est important que les hôtes protègent
leurs fichiers de clés Kerberos en les stockant sur le disque local, ce qui ne les rend lisibles que par les utilisateurs
autorisés.
Les fichiers
se trouvant dans les répertoires racine_serveur_app/profiles/nom_profil/config
et racine_serveur_app/profiles/nom_profil/properties ont besoin de
protection. Par exemple, donnez à l'utilisateur que se connecte au
système les droits d'accès pour les tâches d'administration
principales de WebSphere
Application Server. Les autres utilisateurs ou groupes, tels que ceux de la console
WebSphere
Application Server doivent
également disposer des droits d'accès requis.
Les fichiers des
répertoires WAS_HOME/config et WAS_HOME/properties
doivent être protégés. Par exemple, donnez à l'utilisateur que se connecte au
système les droits d'accès pour les tâches d'administration
principales de WebSphere
Application Server. Les autres utilisateurs ou groupes, tels que ceux de la console
WebSphere
Application Server doivent
également disposer des droits d'accès requis.
![[z/OS]](../images/ngzos.gif)
Les fichiers du répertoire
WAS_HOME/properties qui doivent être
accessibles en lecture pour tous les utilisateurs sont les suivants :
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
La valeur relative au répertoire WAS_HOME est indiquée dans
l'outil de gestion des profils
WebSphere z/OS
ou dans la commande zpmt lorsque
WebSphere
Application Server for
z/OS
est installé pour le produit de base et
WebSphere
Application Server, Network Deployment.
Procédure
Sécurisation des fichiers sur un
système Windows : - Ouvrez le navigateur pour visualiser les fichiers et
répertoires qui se trouvent sur la machine.
- Recherchez le fichier ou le répertoire à protéger et cliquez dessus à
l'aide du bouton droit de la souris.
- Cliquez sur Propriétés.
- Cliquez sur l'onglet Sécurité.
- Supprimez l'entrée Tout le monde, ainsi que tous les
utilisateurs ou groupes qui ne doivent pas avoir accès à ce fichier.
- Ajoutez les utilisateurs qui peuvent accéder aux fichiers avec les droits
appropriés.
Sécurisation des fichiers sur les systèmes UNIX. Cette procédure s'applique uniquement au système de fichiers UNIX ordinaire. Si votre site
utilise des listes de contrôle d'accès, sécurisez les fichiers en utilisant ce
mécanisme. Toutes les exigences spécifiques au site peuvent affecter le propriétaire, le groupe et les privilèges correspondants, par exemple, sur la plateforme AIX.- Accédez au répertoire racine_installation et
modifiez la propriété de la configuration de répertoire et les
propriétés correspondant à l'utilisateur qui se connecte au système
pour les tâches d'administration principales de
WebSphere
Application Server. Exécutez la commande suivante : chown -R nom_connexion nom_répertoire
Où :
- nom_connexion est un utilisateur ou un groupe spécifié
- nom_répertoire correspond au nom du répertoire contenant les fichiers
Il est préférable d'attribuer la propriété des fichiers contenant les
informations relatives aux mots de passe à l'utilisateur qui exécute le serveur
d'applications. Si plusieurs utilisateurs exécutent le serveur d'applications, accordez
des droits au groupe auquel ces utilisateurs sont affectés dans le registre
d'utilisateurs.
- Configurez les droits d'accès en exécutant la commande suivante : chmod
-R 770 nom_répertoire.
- Allez au répertoire racine_serveur_app/profiles/nom_profil/properties et définissez les droits d'accès aux fichiers. Définissez les droits d'accès pour les fichiers suivants selon vos instructions de
sécurité :
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
Par exemple, exécutez la commande chmod 770 nom_fichier où
nom_fichier est le nom du fichier listé précédemment dans le répertoire
racine_install/profiles/nom_profil/properties.
Ces fichiers contiennent des
informations critiques, tels les mots de passe.
Remarque : Si vous avez activé l'authentification Kerberos ou
l'authentification Web SPNEGO, paramétrez les droits d'accès pour les
fichiers suivants en respectant vos exigences de sécurité : le
fichier de configuration Kerberos (krb5.conf ou
krb5.ini) et le fichier de clés Kerberos.
- Créez un groupe pour
WebSphere
Application Server et
ajoutez-lui les utilisateurs qui y effectuent des tâches
d'administration
WebSphere
Application Server intégrales ou
partielles.
- Si vous souhaitez utiliser WebSphere MQ comme fournisseur JMS (Java™ Messaging
Service), limitez l'accès aux répertoires /var/mqm et aux fichiers journaux utilisés. Accordez les droits en écriture uniquement à l'ID mqm ou aux membres du groupe d'utilisateurs mqm.
Sécurisez les fichiers sur les systèmes
WebSphere
Application Server for
z/OS. - Utilisez l'outil de gestion des profils WebSphere z/OS ou la commande zpmt, puis suivez les instructions générées pour personnaliser le système.
Les travaux de
personnalisation générés exécutent les fonctions suivantes :
- Créez les ID d'utilisateur
WebSphere
Application Server SAF (System
Authorization Facility) requis pour l'administrateur et les processus
serveur.
- Créez un groupe de configuration
WebSphere
Application Server SAF et
ajoutez les ID utilisateur
WebSphere
Application Server SAF.
- Fournissez un mappage d'un principal J2EE (Java 2, Enterprise Edition) à un ID utilisateur SAF. Vous pouvez générer un exemple de module de mappage ou en spécifier un que vous avez créé.
- Associez les tâches
WebSphere
Application Server démarrées
avec les ID et les groupes d'utilisateurs SAF précédemment définis.
- Remplissez le système de fichiers avec les fichiers système
et de propriétés requis pour l'exécution de WebSphere
Application Server.
- Attribuez la propriété de ces fichiers à l'administrateur WebSphere
Application Server.
- Création des droits d'accès aux fichiers appropriés.
Tous les fichiers du répertoire
WAS_HOME/config
doivent être accessibles en écriture et en lecture par tous les
membres du groupe de configuration
WebSphere
Application Server mais ne
doivent pas être accessible à toutes les personnes (mode 770). Tous
les fichiers du répertoire
WAS_HOME/properties
doivent être accessibles en écriture et en lecture par tous les
membres du groupe de configuration de
WebSphere
Application Server. Définissez les droits d'accès pour les fichiers suivants selon vos instructions de
sécurité :
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
Par exemple, exécutez la commande
chmod 775 nom_fichier. où
nom_fichier est le nom du fichier précédemment listé. Ces fichiers contiennent des
informations critiques, tels les mots de passe.
Remarque : Si vous avez activé l'authentification Kerberos ou
l'authentification Web SPNEGO, paramétrez les droits d'accès pour les
fichiers suivants en respectant vos exigences de sécurité : le
fichier de configuration Kerberos (krb5.conf ou
krb5.ini) et le fichier de clés Kerberos.
- Ajoutez au groupe de configuration les administrateurs qui
effectuent des tâches d'administration
WebSphere
Application Server intégrales ou
partielles.
- Limitez l'accès aux répertoires /var/mqm et aux
fichiers journaux requis pour la messagerie imbriquée
WebSphere
Application Server ou
WebSphere
MQ en tant que fournisseur JMS. Attribuez des droits d'accès en écriture uniquement à l'ID utilisateur mqm ou aux membres du groupe d'utilisateurs mqm.
Résultats
Une fois l'environnement sécurisé, seuls les utilisateurs autorisés peuvent
accéder aux fichiers. Une sécurisation incorrecte de ces fichiers
peut provoquer la vulnérabilité de la sécurité de vos applications
WebSphere
Application Server.
Que faire ensuite
Si un incident lié aux droits d'accès aux fichiers se produit, vérifiez
les définitions de ces droits.