Skanowanie bezpieczeństwa pokazuje: Magazyn zaufanych certyfikatów (Java) używa domyślnych lub słabych danych hasła

Skanowanie bezpieczeństwa dostarczone przez Bladelogic zgłosiło następujące informacje dotyczące serwera aplikacji Data Protection Advisor:

Magazyn zaufanych certyfikatów (Java) używa domyślnych lub słabych szczegółów hasła: Uprawnienia katalogu: -rwxrwxr-x Właściciel katalogu: apollosuperuser Grupa właścicieli katalogu: dpaservices

Szczegóły techniczne: /app/emc/dpa/services/_jre/lib/security/cacerts
 

Hasło do magazynu zaufania cacerts nie było wystarczająco silne, ponieważ używał domyślnego.

Aby uzyskać silniejsze hasło, zmieniono zarówno trust store cacerts, jak i jego hasło aliasu, wykonując następujące czynności.

Na serwerze aplikacji:
1. cd "C:\Program Files\EMC\DPA\services_jre\bin"

2. Zmień hasło magazynu zaufania cacerts przy użyciu następującego polecenia.
keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"
Uwaga: stare hasło to "changeit".  Po wyświetleniu monitu wprowadź nowe hasło.

3. Dodaj poniżej nowy wiersz z nowym hasłem na końcu pliku C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<new password>

4. Zmień nowe hasło aliasu cacerts przy użyciu poniższego polecenia.
keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass HASŁO -alias <cacerts alias> -keypass changeit -new HASŁO

Gdzie HASŁO to nowe hasło utworzone w kroku 2.

5. Uruchom ponownie aplikację DPA.

Dla dodatkowego bezpieczeństwa uprawnienia do pliku cacerts również zostały zmienione na 444. 

Po tych zmianach oprogramowanie Security Scan nie wykrywało już alertu zabezpieczeń.

Cacerts to nie magazyn kluczy (apollo.keystore), z którego zwykle korzysta DPA, który znajduje się w katalogu /opt/emc/dpa/services/standalone/configuration.  Zamiast tego cacerts jest oddzielnym magazynem zaufania (magazynem kluczy), który zawiera kolekcję certyfikatów zaufanych urzędów certyfikacji (CA). Oracle dołącza plik cacerts wraz z obsługą protokołu SSL do zestawu narzędzi Java™ Secure Socket Extension (JSSE) i JDK. 

W przypadku bieżącego certyfikatu z podpisem własnym DPA nie opiera się na zaufanym magazynie. Mogą jednak istnieć inne strony trzecie, w przypadku których możemy polegać na tym zaufanym magazynie podczas uzyskiwania dostępu do zdalnych punktów końcowych (np. ESRS, aplikacji do tworzenia kopii zapasowych lub baz danych). Jeśli certyfikat aplikacji zdalnej jest podpisany przez urząd certyfikacji, zostanie on zweryfikowany za pomocą tego magazynu zaufanych certyfikatów.