WebSphere® Application Server는 설치 동안 작성되는 몇몇
구성 파일에 따라 다릅니다.
이러한 파일에는 비밀번호 정보가 포함되고 보호가 필요합니다. 파일은 설치 중에 제한된 정도까지 보호되지만 이 기본 보호 레벨은
사용자의 사이트에는 충분하지 않을 수도 있습니다.
이러한 파일이 사용자의 사이트의 정책을 준수하여 보호되는지 확인해야 합니다.
시작하기 전에
참고: Kerberos keytab 구성 파일에는 사용자 비밀번호와 유사한 키 목록이 포함됩니다.
기본 keytab 파일은 krb5.keytab입니다.
호스트에서 권한이 부여된 사용자만이 읽을 수 있는 로컬 디스크에
Kerberos keytab 파일을 저장함으로써 이를 보호하는 것이 중요합니다.
app_server_root/profiles/profile_name/config 및 app_server_root/profiles/profile_name/properties의 파일은 보호가 필요합니다.
예를 들어, WebSphere Application Server 1차 관리 태스크를 위해 시스템에 로그인하는 사용자에게
권한을 부여하십시오. WebSphere Application Server 콘솔 사용자 및 콘솔 그룹 등과 같은 다른 사용자나 그룹 또한 권한이 필요합니다.
WAS_HOME/config WAS_HOME/properties 디렉토리의 파일은
보호가 필요합니다. 예를 들어, WebSphere Application Server 1차 관리 태스크를 위해 시스템에 로그인하는 사용자에게
권한을 부여하십시오. WebSphere Application Server 콘솔 사용자 및 콘솔 그룹 등과 같은 다른 사용자나 그룹 또한 권한이 필요합니다.
WAS_HOME/properties 디렉토리의 파일은 모든 사람이 읽을 수 있어야 합니다.
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
기본 제품 및 WebSphere Application Server, Network Deployment 둘 모두에 대해 WebSphere Application Server for z/OS®가 설치된 경우
WAS_HOME 디렉토리의 값은
WebSphere z/OS 프로파일 관리 도구 또는 zpmt 명령에 지정되어 있습니다.
프로시저
Windows 시스템에서 파일 보안: - 머신에서 파일 및 디렉토리를 보기 위해 브라우저를 여십시오.
- 보호하려는 파일 또는 디렉토리를 찾아서 마우스 오른쪽 단추를 클릭하십시오.
- 특성을 클릭하십시오.
- 보안 탭을 클릭하십시오.
- 모든 사람 항목 및 파일에 대한 액세스를 갖기를 원치 않는 다른 사용자 또는 그룹을 제거하십시오.
- 적합한 권한으로 파일에 액세스할 수 있는 사용자를 추가하십시오.
UNIX 시스템에서 파일을 보호하십시오. 이 프로시저는 일반
UNIX 파일 시스템에만 적용됩니다.
사이트가 액세스 제어 목록을 사용하는 경우에는 해당 메커니즘을 사용하여 파일을 보호하십시오.
사이트 특정 요구사항이 소유자, 그룹 및 해당하는 권한에 영향을 미칠 수 있습니다(예: AIX® 플랫폼에서).- install_root 디렉토리로 이동하고 디렉토리 구성 및 특성의 소유권을 WebSphere Application Server 1차 관리 태스크의 시스템에 로그인하는 사용자로 변경하십시오. chown -R logon_name directory_name 명령을
실행하십시오.
여기서,
- login_name은 지정된 사용자 또는 그룹입니다.
- directory_name은 파일을 포함하는 디렉토리의 이름입니다.
비밀번호 정보를 포함하는 파일의 소유권을 Application Server를 실행하는 사용자에게 지정하는 것이 좋습니다.
둘 이상의 사용자가 Application Server를 실행하는 경우에는 사용자가 사용자 레지스트리에서 지정된 그룹에 권한을 제공하십시오.
- 다음 명령을 실행하여 권한을 설정하십시오. chmod
-R 770 directory_name.
- app_server_root/profiles/profile_name/properties 디렉토리로 이동하고
파일 권한을 설정하십시오. 사용자의 보안 가이드라인에 관련된 것처럼 다음 파일의 액세스 권한을 설정하십시오.
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
다음 명령을 실행할 수도 있습니다. chmod
770 file_name, 여기서 file_name은 install_root/profiles/profile_name/properties 디렉토리에 이전에 나열된 파일의 이름입니다.
이러한 파일은 비밀번호와 같은 민감한 정보가 포함됩니다.
참고: Kerberos 인증 또는 SPNEGO 웹 인증을 사용 가능으로 설정한 경우에는
사용자의 보안 가이드라인과 관련된 것처럼 다음 파일의 액세스 권한을 설정하십시오. Kerberos 구성 파일(krb5.conf 또는 krb5.ini)
및 Kerberos keytab 파일.
- WebSphere Application Server의 그룹을 작성하고 전체 또는 부분 WebSphere Application Server 관리 태스크를 수행하는 사용자를 해당 그룹에 두십시오.
- WebSphere MQ를
JMS(Java™ Messaging Service) 제공자로서 사용하고 싶은 경우에는
/var/mqm 디렉토리 및 사용된 로그 파일에 대한 액세스를 제한하십시오. 사용자 ID mqm 또는 mqm 사용자 그룹의 구성원에게만 쓰기 액세스를 제공하십시오.
WebSphere Application Server for z/OS 시스템에서 파일을 보호하십시오. - WebSphere z/OS 프로파일 관리 도구 또는
zpmt 명령을 사용하고 생성된 지시사항을 따라 시스템을 사용자 정의하십시오.
생성되는 사용자 정의 작업은 다음 기능을 수행합니다.
- 관리자 및 서버 프로세스에 필요한 SAF(System Authorization Facility) WebSphere Application Server 사용자 ID를 작성하십시오.
- SAF WebSphere Application Server 구성 그룹을 작성하고
SAF WebSphere Application Server 사용자 ID를 추가하십시오.
- Java 2,
Enterprise Edition(J2EE) 프린시펄에서 SAF 사용자 ID로의 맵핑을 제공하십시오. 샘플 맵핑 모듈을 생성하거나
스스로 작성한 모듈을 지정할 수 있습니다.
- WebSphere Application Server-시작 태스크를
이전에 정의된 SAF 사용자 ID 및 그룹과 연관시키십시오.
- 파일 시스템을 WebSphere Application Server를 실행하는 데 필요한 시스템 및 특성 파일로 채우십시오.
- 이러한 파일의 소유권을 WebSphere Application Server 관리자로 변경하십시오.
- 적합한 파일 권한을 작성하십시오.
WAS_HOME/config 디렉토리의 모든 파일은
WebSphere Application Server 구성 그룹의 모든 구성원이 쓰기 및 읽기 액세스를 가지고 있어야 하며
모든 사람이 액세스 가능해서는 안됩니다(모드 770).
WAS_HOME/properties 디렉토리의 모든 파일은
WebSphere Application Server 구성 그룹의 모든 구성원이 쓰기 및 읽기 액세스를 가지고 있어야 합니다.
사용자의 보안 가이드라인에 관련된 것처럼 다음 파일의 액세스 권한을 설정하십시오.
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
예를 들어, 다음 명령을 실행할 수도 있습니다.
chmod
775 file_name.
file_name은 이전에 나열된 파일의 이름입니다.
이러한 파일은 비밀번호와 같은 민감한 정보가 포함됩니다.
참고: Kerberos 인증 또는 SPNEGO 웹 인증을 사용 가능으로 설정한 경우에는
사용자의 보안 가이드라인과 관련된 것처럼 다음 파일의 액세스 권한을 설정하십시오. Kerberos 구성 파일(krb5.conf 또는 krb5.ini)
및 Kerberos keytab 파일.
- 전체 또는 부분 WebSphere Application Server 관리 태스크를 수행하는 관리자를 구성 그룹에 추가하십시오.
- JMS 제공자로서 WebSphere Application Server 임베디드 메시징 또는
WebSphere MQ에 필요한 /var/mqm 디렉토리 및 로그 파일에 대한 액세스를 제한하십시오. mqm 사용자 ID
또는 mqm 사용자 그룹의 구성원에게만 쓰기 액세스를 제공하십시오.
결과
사용자의 환경을 보안한 후 권한이 있는 사용자만이 파일에 액세스할 수 있습니다.
이러한 파일을 적합하게 보안하는 데 실패하면
WebSphere Application Server 애플리케이션에서 보안을 위반하게 될 수도 있습니다.
다음에 수행할 작업
파일 액세스 권한에 의해 초래되는 실패가 발생하면 권한 설정을 확인하십시오.