La scansione della sicurezza mostra: L'archivio certificati attendibili (Java) utilizza dettagli sulla password predefinita o debole

La scansione della sicurezza fornita da Bladelogic ha riportato quanto segue per il server delle applicazioni di Data Protection Advisor:

L'archivio certificati attendibili (Java) utilizza la password predefinita o debole Dettagli: Autorizzazioni directory: -rwxrwxr-x Proprietario della directory: apollosuperuser Gruppo proprietario della directory: dpaservices

Dettagli tecnici: /app/emc/dpa/services/_jre/lib/security/cacerts
 

La password per l'archivio attendibilità cacerts non era sufficientemente complessa in quanto utilizzava quella predefinita.

Per ottenere una password più complessa, sia il truststore cacerts che la relativa password alias sono stati modificati utilizzando la seguente procedura.

Sul server delle applicazioni:
1. cd "C:\Program Files\EMC\DPA\services_jre\bin"

2. Modificare la password dell'archivio attendibilità cacerts con il seguente comando.
keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"
Nota: la vecchia password è "changeit".  Immettere la nuova password quando richiesto.

3. Aggiungere la nuova riga riportata di seguito, con la nuova password, alla fine del file C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<new password>

4. Modificare la nuova password alias cacerts con il comando riportato di seguito.
keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD

Dove PASSWORD è la nuova password creata nel passaggio 2.

5. Riavviare l'applicazione DPA.

Per una maggiore sicurezza, anche le autorizzazioni per i file cacerts sono state modificate in 444. 

Dopo queste modifiche, il software Security Scan non ha più rilevato l'avviso di sicurezza.

Il cacerts non è il keystore (apollo.keystore) utilizzato in genere da DPA, che si trova in /opt/emc/dpa/services/standalone/configuration.  Al contrario, cacerts è un archivio attendibilità separato (archivio chiavi) che contiene una raccolta di certificati dell'autorità di certificazione (CA) attendibili. Oracle include il file cacerts con il relativo supporto SSL nel kit di strumenti Java™ Secure Socket Extension (JSSE) e JDK. 

Per il certificato autofirmato corrente, DPA non si basa sull'archivio attendibilità. Tuttavia, potrebbero esserci altre terze parti in cui possiamo fare affidamento su questo archivio attendibilità durante l'accesso agli endpoint remoti (ad es. ESRS, applicazioni di backup o database). Se il certificato dell'applicazione remota è firmato dalla CA, verrà verificato con questo archivio attendibilità.