L’analyse de sécurité montre : Le magasin de certificats de confiance (Java) utilise les détails du mot de passe par défaut ou faible

L’analyse de sécurité fournie par Bladelogic a signalé ce qui suit pour le serveur de l’application Data Protection Advisor :

Le magasin de certificats d’approbations (Java) utilise les détails du mot de passe par défaut ou faible : Autorisations sur les répertoires : -rwxrwxr-x Directory Owner : apollosuperuser Directory Owner Group : dpaservices

Détails techniques : /app/emc/dpa/services/_jre/lib/security/cacerts
 

Le mot de passe du magasin de certificats de confiance cacerts n’était pas assez fort, car il utilisait le mot de passe par défaut.

Afin d’obtenir un mot de passe plus fort, le magasin de confiance cacerts et son mot de passe d’alias ont été modifiés en procédant comme suit.

Sur le serveur d’applications :
1. cd « C :\Program Files\EMC\DPA\services_jre\bin"

2. Modifiez le mot de passe de la zone de stockage cacerts à l’aide de la commande suivante.
keytool.exe -storepasswd -keystore « C :\Program Files\EMC\DPA\services_jre\lib\security\cacerts »
Notez que l’ancien mot de passe est « changeit ».  Saisissez un nouveau mot de passe lorsque vous y êtes invité.

3. Ajoutez la nouvelle ligne ci-dessous, avec le nouveau mot de passe, à la fin du fichier C :\Program Files\EMC\DPA\services_jre\lib\security\java.security :
javax.net.ssl.trustStorePassword=<new password>

4. Modifiez le nouveau mot de passe de l’alias cacerts avec la commande ci-dessous.
keytool.exe -keypasswd -keystore « C :\Program Files\EMC\DPA\services_jre\lib\security\cacerts » -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD

Où PASSWORD est le nouveau mot de passe créé à l’étape 2.

5. Redémarrez l’application DPA.

Pour plus de sécurité, les autorisations de fichier cacerts ont également été modifiées à 444. 

Après ces modifications, le logiciel d’analyse de sécurité n’a plus détecté l’alerte de sécurité.

Le cacerts n’est pas le magasin de clés (apollo.keystore) généralement utilisé par DPA, qui se trouve dans /opt/emc/dpa/services/standalone/configuration.  Au lieu de cela, cacerts est un magasin d’approbations distinct (magasin de clés) qui contient une collection de certificats d’autorité de certification (CA) de confiance. Oracle inclut le fichier cacerts avec sa prise en charge SSL dans le kit d’outils Java™ Secure Socket Extension (JSSE) et JDK. 

Pour le certificat auto-signé actuel, DPA ne s’appuie pas sur le magasin de confiance. Toutefois, il peut y avoir d’autres tiers sur lesquels nous pouvons compter sur cette zone de stockage de confiance pour accéder à des points de terminaison distants (par exemple, ESRS, applications de sauvegarde ou bases de données). Si le certificat de l’application distante est signé par l’autorité de certification, il sera vérifié avec ce magasin de confiance.