Sikkerhedsscanning viser: Java (Certificate Trust Store) bruger standardoplysninger eller svage adgangskodeoplysninger

Sikkerhedsscanningen leveret af Bladelogic rapporterede følgende for Data Protection Advisor-programserveren:

Certificate Trust Store (Java) Uses Default or Weak Password Details: Directory Permissions: -rwxrwxr-x Directory Owner: apollosuperuser Directory Owner Group: dpaservices
Technical Detail: /app/emc/dpa/services/_jre/lib/security/cacerts

Adgangskoden til cacerts trust store var ikke stærk nok, da den brugte standardværdien.

For at få en stærkere adgangskode blev både cacerts truststore og dens aliasadgangskode ændret ved hjælp af følgende trin.

På programserveren:

1. cd "C:\Program Files\EMC\DPA\services_jre\bin"

2. Skift adgangskoden til cacerts trust store med følgende kommando.

   keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"

   Bemærk: Den gamle adgangskode er "changeit". Indtast en ny adgangskode, når du bliver bedt om det.

3. Tilføj den nye linje nedenfor med den nye adgangskode i slutningen af filen C:\Programmer\EMC\DPA\services_jre\lib\security\java.security:

   javax.net.ssl.trustStorePassword=<new password>

4. Skift den nye adgangskode til cacerts-aliaset med kommandoen nedenfor.

   keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD

   Hvor PASSWORD er den nye adgangskode, der blev oprettet i trin 2.

5. Genstart DPA-programmet.

For yderligere sikkerhed blev cacerts-filtilladelserne også ændret til 444.

Efter disse ændringer registrerede sikkerhedsscanningssoftwaren ikke længere sikkerhedsadvarslen

Cacerts er ikke det keystore (apollo.keystore), som DPA typisk bruger, som er placeret i /opt/emc/dpa/services/standalone/configuration. I stedet er cacerts et separat tillidslager (keystore), der indeholder en samling CA-certifikater (Trusted Certificate Authority). Oracle inkluderer cacerts-filen med dens SSL-understøttelse i Java™ Secure Socket Extension (JSSE) værktøjssæt og JDK.

For nuværende selvsigneret certifikat er DPA ikke afhængig af tillidslager. Der kan dog være andre tredjeparter, hvor vi kan stole på dette tillidslager, når vi får adgang til eksterne slutpunkter (dvs. ESRS, sikkerhedskopieringsprogrammer eller databaser). Hvis certifikatet for fjernprogrammet er signeret af CA, bekræftes det med dette tillidslager.