Skanowanie bezpieczeństwa pokazuje: Magazyn zaufanych certyfikatów (Java) używa domyślnych lub słabych danych hasła

Skanowanie bezpieczeństwa dostarczone przez Bladelogic zgłosiło następujące informacje dotyczące serwera aplikacji Data Protection Advisor:

Certificate Trust Store (Java) Uses Default or Weak Password Details: Directory Permissions: -rwxrwxr-x Directory Owner: apollosuperuser Directory Owner Group: dpaservices
Technical Detail: /app/emc/dpa/services/_jre/lib/security/cacerts

Hasło do magazynu zaufania cacerts nie było wystarczająco silne, ponieważ używał domyślnego.

Aby uzyskać silniejsze hasło, zmieniono zarówno trust store cacerts, jak i jego hasło aliasu, wykonując następujące czynności.

Na serwerze aplikacji:

1. cd "C:\Program Files\EMC\DPA\services_jre\bin"

2. Zmień hasło magazynu zaufania cacerts przy użyciu następującego polecenia.

   keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"

   Uwaga: Stare hasło to "changeit". Po wyświetleniu monitu wprowadź nowe hasło.

3. Dodaj poniżej nowy wiersz z nowym hasłem na końcu pliku C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:

   javax.net.ssl.trustStorePassword=<new password>

4. Zmień nowe hasło aliasu cacerts przy użyciu poniższego polecenia.

   keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD

   Gdzie HASŁO to nowe hasło utworzone w kroku 2.

5. Uruchom ponownie aplikację DPA.

Z myślą o dodatkowym zabezpieczeniu uprawnienia pliku cacerts również zostały zmienione na 444.

Po tych zmianach oprogramowanie Security Scan nie wykrywało już alertu bezpieczeństwa

Cacerts to nie magazyn kluczy (apollo.keystore), z którego zwykle korzysta DPA, który znajduje się w katalogu /opt/emc/dpa/services/standalone/configuration. Zamiast tego cacerts jest oddzielnym magazynem zaufania (magazynem kluczy), który zawiera kolekcję certyfikatów zaufanych urzędów certyfikacji (CA). Oracle dołącza plik cacerts wraz z obsługą protokołu SSL do zestawu narzędzi Java™ Secure Socket Extension (JSSE) i JDK.

W przypadku bieżącego certyfikatu z podpisem własnym DPA nie opiera się na zaufanym magazynie. Mogą jednak istnieć inne firmy, w przypadku których możemy polegać na tym zaufanym magazynie podczas uzyskiwania dostępu do zdalnych punktów końcowych (np. ESRS, aplikacji do tworzenia kopii zapasowych lub baz danych). Jeśli certyfikat aplikacji zdalnej jest podpisany przez urząd certyfikacji, jest on weryfikowany w tym magazynie zaufanych certyfikatów.