보안 검사에 다음이 표시됩니다. 인증서 신뢰 저장소(Java)가 기본 또는 취약한 암호 세부 정보를 사용함
요약: 보안 검사 결과 DPA 서버의 Java 신뢰 저장소(cacerts)에서 기본 비밀번호 "changeit" 및 허용 파일 권한을 사용하여 자격 증명 노출 위험이 있는 것으로 확인되었습니다.
증상
Bladelogic에서 제공한 보안 검사에서 Data Protection Advisor 애플리케이션 서버에 대해 다음과 같은 결과가 보고되었습니다.
Certificate Trust Store (Java) Uses Default or Weak Password Details: Directory Permissions: -rwxrwxr-x Directory Owner: apollosuperuser Directory Owner Group: dpaservices Technical Detail: /app/emc/dpa/services/_jre/lib/security/cacerts
원인
cacerts 신뢰 저장소의 암호가 기본 암호를 사용하므로 충분히 강력하지 않습니다.
해결
더 강력한 비밀번호를 얻기 위해 다음 단계를 사용하여 cacerts truststore와 해당 별칭 비밀번호를 모두 변경했습니다.
애플리케이션 서버에서 다음을 수행합니다.
-
cd "C:\Program Files\EMC\DPA\services_jre\bin"
-
다음 명령을 사용하여 cacerts 신뢰 저장소 비밀번호를 변경합니다.
keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"
참고: 이전 암호는 "changeit"입니다. 메시지가 표시되면 새 암호를 입력합니다. -
C:\Program Files\EMC\DPA\services_jre\lib\security\java.security 파일 끝에 새 비밀번호를 사용하여 아래 새 줄을 추가합니다.
javax.net.ssl.trustStorePassword=<new password>
-
아래 명령을 사용하여 새 cacerts 별칭 비밀번호를 변경합니다.
keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD
여기서 PASSWORD는 2단계에서 만든 새 암호입니다.
-
DPA 애플리케이션을 재시작합니다.
보안을 강화하기 위해 cacerts 파일 권한도 444로 변경되었습니다.
이러한 변경 후 보안 검사 소프트웨어는 더 이상 보안 경고를 감지하지 못했습니다
추가 정보
cacerts는 DPA가 일반적으로 사용하는 키 저장소(apollo.keystore)가 아니며 /opt/emc/dpa/services/standalone/configuration에 있습니다. cacerts는 신뢰할 수 있는 CA(Certificate Authority) 인증서 모음이 포함된 별도의 신뢰 저장소(키 저장소)입니다. Oracle은 JSSE(Java™ Secure Socket Extension) 도구 키트 및 JDK에 SSL 지원과 함께 cacerts 파일을 포함합니다.
현재 자체 서명된 인증서의 경우 DPA는 신뢰 저장소에 의존하지 않습니다. 그러나 원격 엔드포인트(즉, ESRS, 백업 애플리케이션 또는 데이터베이스)에 액세스할 때 이 신뢰 저장소에 의존할 수 있는 다른 타사가 있을 수 있습니다. CA에서 원격 애플리케이션의 인증서를 서명한 경우 이 신뢰 저장소로 확인됩니다.