寶蘭德BES中間件單機(jī)版安全加固相關(guān)操作
點(diǎn)擊上方“IT那活兒”����,關(guān)注后了解更多內(nèi)容,不管IT什么活兒��,干就完了?����。����?!
因某公司對安全的要求����,需要對bes中間件進(jìn)行安全加固,安全加固的內(nèi)容主要包括對控制臺默認(rèn)地址修改��,實例默認(rèn)端口修改���,控制臺默認(rèn)密碼修改,密碼加密��,加密后的實例啟停方式等��。首先說一下今天安全加固操作的前提�,需要已經(jīng)分離式部署安裝成功bes單機(jī)版中間件,創(chuàng)建實例沒有要求���,一個或多個實例都可以�����,今天我用創(chuàng)建了一個實例的bes中間件做演示��。一�、新增一個實例,和另外一個實例進(jìn)行對比1) 在應(yīng)用賬號下臨時聲明JAVA_HOME環(huán)境變量���。export JAVA_HOME=/bes/jdk1.8.0_1312) 在應(yīng)用賬號下執(zhí)行如下命令�,新建instance02實例��。sh /bes/BES952/bin/besservers
-c=/bes/BES952/conf/server.config
-p=/app/besinstances/instance02
-s=create
2.1 在應(yīng)用賬號bin目錄下啟動需要修改的實例��。2.2 使用應(yīng)用賬號bin目錄下的iastool工具�,進(jìn)行修改控制臺賬號密碼�����。./iastool --passport B#2008_2108#es --user=admin --
password=B#2008_2108#es --port 1900 update --file-user --
realmname admin-realm --userpassword Hello!123 --
confirmpassword Hello!123 admin
使用此工具修改控制臺賬號密碼需要給幾個參數(shù),分別為passport密碼����,用戶密碼,以及該實例目前的控制臺端口�����,后面幾個參數(shù)為修改后的密碼��。
[app@localhost bin]$ ./iastool --passport B#2008_2108#es --
user=admin --password=B#2008_2108#es --port 1900 update --
file-user --realmname admin-realm --userpassword Hello!123
--confirmpassword Hello!123 admin
Login information is not saved for host name [localhost] and port [1900]
Login information is not saved for host name [localhost] and port [1900]
Command update --file-user executed successfully.
這里為修改控制臺密碼的返回顯示結(jié)果����。
三�、生成密碼加密文件
在應(yīng)用賬號的bin目錄下利用iastool工具:
./iastool create --passport B#2008_2108#es --password-file
--adminpassword Hello!123 --iastoolpassport B#2008_2108#es
./adminpasswordfile
此處加密密碼應(yīng)和上面修改后的密碼一致。
[app@localhost bin]$ ./iastool create --passport
B#2008_2108#es --password-file --adminpassword Hello!123 -
-iastoolpassport B#2008_2108#es ./adminpasswordfile
Command create --password-file executed successfully.
這里為生成加密文件的返回顯示結(jié)果��。
四�、實例默認(rèn)端口修改
4.1 首先查看一下默認(rèn)端口的值,進(jìn)入/app/besinstances/instance02/conf下查看:可以清晰的在此看見控制臺默認(rèn)端口��,http1端口����,jmx端口等��。4.2 進(jìn)入實例bin目錄下執(zhí)行如下命令:
./iastool --user admin --passwordfile adminpasswordfile --
port 1900 set server.web-container.http-listener.http-
listener-1.port=11001
由于在上個步驟已經(jīng)生產(chǎn)加密文件�,所以在此處可以直接使用加密文件�����,不用輸入明文密碼�����。此處的port給的依舊是實例當(dāng)前的控制臺端口��。4.3 實例的jmx端口默認(rèn)是開啟的�����,在這里順便說一下jmx端口怎么關(guān)閉�。
./iastool --user admin --passwordfile adminpasswordfile --
port 1900 set server.jmx-connector.enabled=false
4.4 控制臺默認(rèn)端口修改,依舊在實例的bin目錄下���,用iastool工具:
./iastool --passwordfile adminpasswordfile
--user admin --port 1900 set server.web-container.
http-listener.admin-listener.port=9999
4.5 至此實例的默認(rèn)端口已經(jīng)全部修改�����,可以再次查看server.config文件���,驗證是否修改完成:可以在圖中紅框看出����,默認(rèn)端口已全部修改為想要的端口��,jmx端口也已經(jīng)關(guān)閉����。五、控制臺默認(rèn)地址修改
默認(rèn)的控制臺地址都為127.0.0.1:port/console,不修改默認(rèn)地址很容易讓人猜到控制臺的地址���,所以修改控制臺默認(rèn)地址很重要��。5.1 使用產(chǎn)品賬號���,修改/bes/BES952/lib/system/apps/console/WEB-INF/web.xml ��。修改紅框內(nèi)的/console為想要的后綴即可�。<session-config>
<session-timeout>30session-timeout>
<cookie-config>
<path>/besmanagerpath>
cookie-config>
session-config>
修改圖中的加深處的console,改為和上述修改一致即可����。
<filter>
<filter-name>CsrfFilterfilter-name>
<filter-class>com.bes.enterprise.console.core.filters.CsrfPreventionFilterfilter-class>
<init-param>
<param-name>entryPointsparam-name>
<param-value>/besmanager/index.action,/besmanager//index.action,/besmanager/,/besmanager,/besmanager/login.html,/besmanager/doLogin.action,/besmanager/certCode.actionparam-value>
init-param>
<init-param>
<param-name>entryPrefixPointsparam-name>
<param-value>/besmanager/pages/error,/besmanager/favicon.ico,/besmanager/resources/image,/besmanager/resources/js,/besmanager/resources/style,/besmanager/resources/loading.gifparam-value>
init-param>
filter>
5.2 使用應(yīng)用賬號����,進(jìn)入需要修改的實例目錄下:
/app/besinstances/instance01/conf/server.config
修改紅框內(nèi)的兩處�,將enable=”fales”改為true,另外一處所修改后的內(nèi)容應(yīng)該和產(chǎn)品賬號web.xml中修改的一致�����。六���、修改啟停腳本
6.1 由于修改后的所有內(nèi)容需要重啟生效����,所以先停止實例����。此處因為修改了控制臺的默認(rèn)密碼,所以啟停腳本中的密碼配置無效�,需要手動輸入用戶名,修改后的密碼��。6.2 修改啟腳本�,并且在startserver中增加JAVA_HOME環(huán)境變量,否則需要一直臨時聲明環(huán)境變量。6.3 修改停腳本�,并且在stopserver中增加JAVA_HOME。記得將控制臺端口改為修改之后的��。可以不用輸入賬號密碼啟動實例���,啟停腳本即為驗證成功,并且在啟停腳本中使用密碼加密文件��,不能出現(xiàn)明文密碼�。輸入修改后的控制臺后綴和端口,和修改后的控制臺密碼可以進(jìn)入控制臺���,即為修改安全加固完成��。友情提醒:第一次修改控制臺默認(rèn)地址�����,需要進(jìn)入一遍http://127.0.0.1:port/console之后,才能進(jìn)入修改后綴之后的控制臺地址。
本文來源:IT那活兒(上海新炬王翦團(tuán)隊)
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/129622.html
