Beveiligingscontrolelijst security-checklist
Deze sectie behandelt diverse stappen die u zou moeten nemen om ervoor te zorgen dat uw AEM installatie wanneer opgesteld veilig is. De controlelijst moet van boven naar beneden worden toegepast.
Belangrijkste veiligheidsmaatregelen main-security-measures
AEM uitvoeren in de productielodus run-aem-in-production-ready-mode
Zie voor meer informatie AEM uitvoeren in productielocatie.
HTTPS inschakelen voor beveiliging van transportlagen enable-https-for-transport-layer-security
Het inschakelen van de HTTPS-transportlaag op zowel auteur- als publicatieinstanties is verplicht voor het hebben van een beveiligde instantie.
Beveiligingshotfixes installeren install-security-hotfixes
Zorg ervoor dat u de nieuwste Beveiligingshotfixes verstrekt door Adobe.
Standaardwachtwoorden voor de AEM- en OSGi-console-beheeraccounts wijzigen change-default-passwords-for-the-aem-and-osgi-console-admin-accounts
Adobe beveelt na installatie aan dat u het wachtwoord voor geprivilegieerde personen wijzigt AEM admin
rekeningen (in alle gevallen).
Deze rekeningen omvatten:
-
De AEM
admin
accountNadat u het wachtwoord voor de AEM-beheerdersaccount hebt gewijzigd, gebruikt u het nieuwe wachtwoord voor toegang tot CRX.
-
De
admin
wachtwoord voor de console van het Web OSGiDeze verandering wordt ook toegepast op de admin rekening die voor de toegang tot van de console van het Web wordt gebruikt, zo gebruik het zelfde wachtwoord wanneer de toegang tot van dat.
Deze twee rekeningen gebruiken afzonderlijke geloofsbrieven en het hebben van verschillend, sterk wachtwoord voor elk is essentieel voor een veilige plaatsing.
Het AEM-beheerderswachtwoord wijzigen changing-the-aem-admin-password
Het wachtwoord voor de AEM-beheerdersaccount kan worden gewijzigd via de Graniet-bewerkingen - gebruikers console.
Hier kunt u de admin
rekening en het wachtwoord wijzigen.
Het belang van het wijzigen van het wachtwoord voor de OSGi-webconsole importance-of-changing-the-osgi-web-console-password
Aside van de AEM admin
account, als het standaardwachtwoord voor het OSGi-webconsolewachtwoord niet wordt gewijzigd, kan dit leiden tot:
- Belichting van de server met een standaardwachtwoord tijdens opstarten en afsluiten (wat minuten kan duren voor grote servers);
- Belichting van de server wanneer de opslagplaats is neer/herstart bundel - en OSGI loopt.
Voor meer informatie bij het veranderen van het wachtwoord van de Webconsole, zie Het beheerwachtwoord voor de OSGi-webconsole wijzigen hieronder.
Het beheerwachtwoord voor de OSGi-webconsole wijzigen changing-the-osgi-web-console-admin-password
Wijzig het wachtwoord dat wordt gebruikt voor toegang tot de webconsole. Een Configuratie van SDAB om de volgende eigenschappen van Apache Felix OSGi Management Console:
- Gebruikersnaam en Wachtwoord, de referenties voor toegang tot de Apache Felix Web Management Console zelf.
Het wachtwoord moet worden gewijzigd na de eerste installatie om de veiligheid van uw instantie te verzekeren.
Het beheerwachtwoord voor de OSGi-webconsole wijzigen:
-
Met de Gereedschappen, Bewerkingen menu, opent u de Webconsole en navigeer naar de Configuratie sectie.
Bijvoorbeeld bij<server>:<port>/system/console/configMgr
. -
Navigeer naar en open het item voor Apache Felix OSGi Management Console.
-
Wijzig de gebruikersnaam en password.
-
Selecteren Opslaan.
Aangepaste fouthandler implementeren implement-custom-error-handler
Adobe raadt aan aangepaste fouthandlerpagina's te definiëren, met name voor 404- en 500 HTTP-antwoordcodes, om openbaarmaking van informatie te voorkomen.
Volledige lijst voor beveiligingscontrole voor verzending complete-dispatcher-security-checklist
AEM Dispatcher is een essentieel onderdeel van uw infrastructuur. Adobe raadt u aan de Controlelijst voor beveiliging van verzending.
Controlestappen verification-steps
Gebruikers voor replicatie en transport configureren configure-replication-and-transport-users
Een standaardinstallatie van AEM specificeert admin
als de gebruiker voor vervoergeloofsbrieven binnen het gebrek replicatiemiddelen. Ook, wordt de admin gebruiker gebruikt aan bron de replicatie op het auteurssysteem.
Met het oog op de veiligheid moeten beide aspecten worden gewijzigd om rekening te houden met het specifieke gebruiksgeval in kwestie, waarbij de volgende twee aspecten in acht moeten worden genomen:
-
De transportgebruiker mag niet de beheerder zijn. Stel in plaats daarvan een gebruiker in het publicatiesysteem in die alleen toegangsrechten heeft tot de relevante delen van het publicatiesysteem en gebruik de referenties van die gebruiker voor het vervoer.
U kunt van de gebundelde replicatie-ontvanger gebruiker beginnen en de toegangsrechten van deze gebruiker vormen om uw situatie aan te passen
-
De replicatiegebruiker of Gebruiker-id agent moet ook niet de admin gebruiker zijn, maar een gebruiker die slechts inhoud kan zien die wordt herhaald. De replicatiegebruiker wordt gebruikt om de inhoud te verzamelen die op het auteurssysteem moet worden herhaald alvorens het naar de uitgever wordt verzonden.
Controleer de beveiligingscontroles op het dashboard Bewerkingen check-the-operations-dashboard-security-health-checks
AEM 6 introduceert het nieuwe Dashboard van Verrichtingen, dat op het helpen van systeemexploitanten problemen oplossen en de gezondheid van een geval controleert.
Het dashboard bevat ook een verzameling veiligheidscontroles. U wordt aangeraden de status van alle beveiligingscontroles te controleren voordat u live gaat met uw productieexemplaar. Voor meer informatie raadpleegt u de Documentatie van het operatiedashboard.
Controleren of voorbeeldinhoud aanwezig is check-if-example-content-is-present
Alle voorbeeldinhoud en -gebruikers (bijvoorbeeld het Geometrixx-project en de onderdelen ervan) moeten worden verwijderd en volledig op een productiesysteem worden verwijderd voordat het openbaar toegankelijk wordt gemaakt.
We.Retail
toepassingen worden verwijderd als deze instantie wordt uitgevoerd in Productiemodus. Als dit scenario niet het geval is, kunt u de steekproefinhoud desinstalleren door naar de Manager van het Pakket te gaan, dan het zoeken naar, en het desinstalleren, allen We.Retail
pakketten.Zie Werken met pakketten.
Controleren of de CRX-ontwikkelingsbundels aanwezig zijn check-if-the-crx-development-bundles-are-present
Deze ontwikkelingsOSGi- bundels zouden op zowel auteur moeten worden gedesinstalleerd als productieve systemen publiceren alvorens hen toegankelijk te maken.
- Adobe CRXDE-ondersteuning (com.adobe.granite.crxde-support)
- Adobe in CRX Explorer (com.adobe.granite.crx-explorer)
- Graniet-CRXDE Lite Adobe (com.adobe.granite.crxde-lite)
Controleren of de ontwikkelingsbundel Sling aanwezig is check-if-the-sling-development-bundle-is-present
De AEM Developer Tools Implementeer de Apache Sling Tooling Support Install (org.apache.sling.tooling.support.install).
Deze bundel OSGi zou op zowel auteur moeten worden gedesinstalleerd als productieve systemen publiceren alvorens hen toegankelijk te maken.
Protect tegen XSS (cross-site request-vervalsing) protect-against-cross-site-request-forgery
Het CSRF-beschermingskader the-csrf-protection-framework
AEM 6.1 schepen met een mechanisme dat tegen de aanvallen van de smeedmachine van het Verzoek van de Verkeer van de Deposito's van de Deposito's helpt beschermen, genoemd CSRF-beschermingskader. Raadpleeg voor meer informatie over het gebruik ervan de documentatie.
Het filter Verschuivende verwijzing the-sling-referrer-filter
Als u bekende beveiligingsproblemen wilt verhelpen met CSRF-bestanden (Cross-Site Request Smeedery) in CRX WebDAV en Apache Sling, voegt u configuraties voor het filter Referrer toe om dit te gebruiken.
De dienst van de verwijzingsfilter is de dienst OSGi die u het volgende laat vormen:
-
welke http-methoden moeten worden gefilterd
-
of een lege verwijzingskoptekst is toegestaan
-
en een lijst met servers die naast de serverhost zijn toegestaan.
Standaard staan alle variaties van localhost en de huidige hostnamen waar de server aan gebonden is, in de lijst.
Om de dienst van het verwijzingsfilter te vormen:
-
Open de Apache Felix-console (Configuraties) om:
https://<server>:<port_number>/system/console/configMgr
-
Aanmelden als
admin
. -
In de Configuraties -menu, selecteert u:
Apache Sling Referrer Filter
-
In de
Allow Hosts
veld, voert u alle hosts in die als referentie zijn toegestaan. Elke vermelding moet van het formulier zijn<protocol>://<server>:<port>
Bijvoorbeeld:
https://allowed.server:80
staat alle verzoeken van deze server met de bepaalde haven toe.- Als u ook https-aanvragen wilt toestaan, moet u een tweede regel invoeren.
- Als u alle poorten van die server toestaat, kunt u
0
als het poortnummer.
-
Controleer de
Allow Empty
veld, als u lege/ontbrekende verwijzingskoppen wilt toestaan.note caution CAUTION Adobe raadt u aan een referentie op te geven terwijl u opdrachtregelprogramma's gebruikt, zoals cURL
in plaats van een lege waarde toe te staan aangezien het uw systeem aan aanvallen CSRF zou kunnen blootstellen. -
Bewerk de methoden die dit filter gebruikt voor controles met de
Filter Methods
veld. -
Klikken Opslaan om uw wijzigingen op te slaan.
OSGI-instellingen osgi-settings
Sommige instellingen van OSGI worden standaard ingesteld om foutopsporing in de toepassing te vergemakkelijken. Wijzig dergelijke instellingen in de productieve exemplaren van uw publicatie en auteur om te voorkomen dat er interne informatie naar het publiek lekt.
Voor elk van de volgende services moeten de opgegeven instellingen worden gewijzigd:
-
Adobe Granite HTML Library Manager:
- enable Minieren (om CRLF- en spatietekens te verwijderen).
- enable Gzip (zodat bestanden met één aanvraag kunnen worden uitgepakt en geopend).
- disable Foutopsporing
- disable Timing
-
Day CQ WCM-foutopsporingsfilter:
- uitschakelen Inschakelen
-
- alleen bij publiceren, instellen WCM-modus naar "disabled"
-
Apache Sling JavaScript-handler:
- disable Foutopsporingsinfo genereren
-
Apache Sling JSP Script Handler:
- disable Foutopsporingsinfo genereren
- disable Toegewezen inhoud
Zie OSGi-configuratie-instellingen.
Wanneer het werken met AEM, zijn er verscheidene methodes om de configuratiemontages voor dergelijke diensten te beheren; zie OSGi configureren voor meer details en de aanbevolen werkwijzen.
Verdere lezingen further-readings
Aanvallen van Denial of Service (DoS) beperken mitigate-denial-of-service-dos-attacks
Een ontkenning van de dienst (Dos) aanval is een poging om een computermiddel niet beschikbaar te maken aan zijn voorgenomen gebruikers. Deze aanval wordt vaak gedaan door het middel te overbelasten; bijvoorbeeld:
-
Een stroom verzoeken van een externe bron.
-
Een verzoek om meer informatie dan het systeem met succes kan leveren.
Bijvoorbeeld een JSON-representatie van de gehele gegevensopslagruimte.
-
Door een inhoudspagina met een onbeperkt aantal URL's aan te vragen, kan URL een handvat, sommige selecteurs, een uitbreiding, en een achtervoegsel omvatten - om het even welke kan worden gewijzigd.
Bijvoorbeeld:
.../en.html
kan ook worden aangevraagd als:.../en.ExtensionDosAttack
.../en.SelectorDosAttack.html
.../en.html/SuffixDosAttack
Alle geldige variaties (retourneren bijvoorbeeld een
200
reactie en worden gevormd om) in het voorgeheugen onder te brengen door Dispatcher, uiteindelijk leidend tot een volledig dossiersysteem en geen dienst voor verdere verzoeken.
Er zijn vele punten van configuratie om dergelijke aanvallen te voorkomen, maar alleen die punten die betrekking hebben op AEM worden hier besproken.
Het vormen het Verkopen om Dos te verhinderen
Verkopen is inhoudgericht. De verwerking wordt geconcentreerd op de inhoud aangezien elk (HTTP) verzoek op inhoud in de vorm van een middel JCR (een gegevensopslagplaats knoop) in kaart wordt gebracht:
- Het eerste doel is de bron (JCR-knooppunt) die de inhoud bevat.
- Ten tweede bevindt de renderer, of het script, zich in de eigenschappen resource met bepaalde onderdelen van de aanvraag (bijvoorbeeld kiezers en/of de extensie).
Zie Verwerking van aanvraag voor verzending voor meer informatie .
Deze aanpak maakt Sling krachtig en flexibel, maar zoals altijd is het de flexibiliteit die zorgvuldig moet worden beheerd.
Om misbruik van DosS te helpen voorkomen, kunt u het volgende doen:
-
Neem controles op het toepassingsniveau op. Vanwege het aantal mogelijke variaties is een standaardconfiguratie niet mogelijk.
In uw toepassing moet u:
- Beheer de kiezers in de toepassing, zodat u alleen de vereiste expliciete kiezers bedienen en retourneren
404
voor alle anderen. - De uitvoer van een onbeperkt aantal inhoudsknooppunten voorkomen.
- Beheer de kiezers in de toepassing, zodat u alleen de vereiste expliciete kiezers bedienen en retourneren
-
Controleer de configuratie van de standaardrenderers, die een probleemgebied kunnen zijn.
-
Met name transformeert de JSON-renderer de boomstructuur over meerdere niveaus.
Bijvoorbeeld, het verzoek:
http://localhost:4502/.json
kan de hele opslagplaats in een JSON-representatie dumpen, wat aanzienlijke serverproblemen kan veroorzaken. Daarom wordt bij Sling een limiet ingesteld voor het aantal maximale resultaten. Als u de diepte van de JSON-rendering wilt beperken, stelt u de waarde in voor het volgende:
JSON Max-resultaten (
json.maximumresults
)in de configuratie voor de Apache Sling GET Servlet. Wanneer deze limiet wordt overschreden, wordt de rendering samengevouwen. De standaardwaarde voor Verdelen binnen AEM is
1000
. -
Als preventieve maatregel, zou u de andere standaardrenderers (HTML, gewone teksten, XML) moeten onbruikbaar maken. Opnieuw, door te vormen Apache Sling GET Servlet.
note caution CAUTION Schakel de JSON-renderer niet uit omdat deze vereist is voor de normale werking van AEM. -
-
Gebruik een firewall om toegang tot uw instantie te filteren.
- Het gebruik van een firewall op besturingssysteemniveau is nodig om toegang tot punten van uw instantie te filteren die tot een Denial of Service-aanval kan leiden als deze niet is beveiligd.
Matig tegen doS die door de Selecteurs van de Vorm wordt veroorzaakt
Omdat AEM geen out-of-the-box indexen voor verstrekt FormChooserServlet
Door formulierkiezers te gebruiken in query's, kan een kostbare repository traversal worden geactiveerd, waarbij de AEM instantie meestal tot stilstand wordt gebracht. Formulierkiezers kunnen worden gedetecteerd door de aanwezigheid van de *.form.&asteren; tekenreeks in query's.
U kunt dit probleem verhelpen door de volgende stappen uit te voeren:
-
Ga naar de webconsole door uw browser naar https://<serveraddress>:<serverport>/system/console/configMgr
-
Zoeken naar Day CQ WCM-formulierkiezerserver
-
Nadat u op de ingang klikt, maak onbruikbaar Geavanceerd zoeken vereist in het volgende venster.
-
Klikken Opslaan.
Mitigate Against DoS Caused by Asset Download Servlet
Met de standaardserver voor het downloaden van middelen kunnen geverifieerde gebruikers willekeurig grote, gelijktijdige, downloadverzoeken afgeven om ZIP-bestanden met elementen te maken. Door grote ZIP-archieven te maken, kunnen de server en het netwerk worden overbelast. Om een potentieel Weigeren van de Dienst (Dos) risico te verlichten dat door dit gedrag wordt veroorzaakt, AssetDownloadServlet
De component OSGi is standaard uitgeschakeld Experience Manager -instantie publiceren. De functie is ingeschakeld op Experience Manager instantie van de auteur door gebrek.
Als u de downloadmogelijkheden niet nodig hebt, schakelt u de servlet uit bij het ontwerpen en publiceren van implementaties. Als de installatie vereist dat de mogelijkheid voor het downloaden van middelen is ingeschakeld, raadpleegt u dit artikel voor meer informatie . Bovendien kunt u een maximale downloadlimiet definiëren die uw implementatie kan ondersteunen.
WebDAV uitschakelen disable-webdav
Schakel WebDAV op zowel auteur als publicatiemilieu's uit door de aangewezen bundels tegen te houden OSGi.
-
Verbinding maken met de Felix Management Console uitgevoerd op:
https://<*host*>:<*port*>/system/console
Bijvoorbeeld:
http://localhost:4503/system/console/bundles
. -
Zoek in de lijst met bundels naar de bundel met de naam:
Apache Sling Simple WebDAV Access to repositories (org.apache.sling.jcr.webdav)
-
Klik in de kolom Acties op de stopknop om deze bundel te stoppen.
-
Zoek in de lijst met bundels de bundel met de naam:
Apache Sling DavEx Access to repositories (org.apache.sling.jcr.davex)
-
Klik op de stopknop om deze bundel te stoppen.
note note NOTE AEM hoeft niet opnieuw te worden opgestart.
Verifieer dat u geen Persoonlijk identificeerbare informatie in de Weg van het Huis van Gebruikers openbaart verify-that-you-are-not-disclosing-personally-identifiable-information-in-the-users-home-path
Het is belangrijk om uw gebruikers te beschermen door ervoor te zorgen dat u geen persoonlijk identificeerbare informatie in de huisweg van de gebruikers van de bewaarplaats blootstelt.
Sinds AEM 6.1 wordt de manier waarop namen van gebruikerknooppunten (ook wel wel autoriseerbare id's genoemd) worden opgeslagen, gewijzigd met een nieuwe implementatie van de AuthorizableNodeName
interface. De nieuwe interface stelt niet meer de gebruiker - identiteitskaart in de knoopnaam bloot maar produceert een willekeurige naam in plaats daarvan.
Geen configuratie moet worden uitgevoerd om het toe te laten, omdat het nu de standaardmanier is om toegelaten IDs in AEM te produceren.
Hoewel niet geadviseerd, kunt u het onbruikbaar maken voor het geval u de oude implementatie voor achterwaartse verenigbaarheid met uw bestaande toepassingen nodig hebt. Hiervoor moet u het volgende doen:
-
Ga naar de webconsole en verwijder het item org.apache.jackrabbit.security.user.RandomAuthorizableNodeName uit de eigenschap requiredServicePids in Apache Jackrabbit Oak SecurityProvider.
U kunt ook de Oak Security Provider vinden op zoek naar de org.apache.jackrabbit.oak.security.internal.SecurityProviderRegistration PID in de configuraties OSGi.
-
Verwijder de Apache Jackrabbit Oak Random Authoriable Node Name OSGi-configuratie vanuit de webconsole.
Voor gemakkelijkere raadpleging, PID voor deze configuratie is org.apache.jackrabbit.oak.security.user.RandomAuthorizableNodeName.
Verhardend pakket anonieme machtigingen anonymous-permission-hardening-package
AEM slaat standaard systeemmetagegevens op, zoals jcr:createdBy
of jcr:lastModifiedBy
als knoopeigenschappen, naast regelmatige inhoud, in de bewaarplaats. Afhankelijk van de configuratie en de opstelling van het toegangsbeheer, in sommige gevallen zou dit tot blootstelling van persoonlijk identificeerbare informatie (PII) kunnen leiden, bijvoorbeeld wanneer dergelijke knopen als ruwe JSON of XML worden teruggegeven.
Net als alle gegevens in de opslagplaats worden deze eigenschappen gemedieerd door de Oak-machtigingenstapel. De toegang tot deze rechten dient te worden beperkt overeenkomstig het beginsel van de minst bevoorrechte behandeling.
Om dit te steunen, verstrekt de Adobe een toestemmings het verharden pakket als basis voor klanten om op te bouwen. Het werkt door een "ontkent"toegangsbeheeringang bij de bewaarplaatswortel te installeren, die anonieme toegang tot algemeen gebruikte systeemeigenschappen beperkt. Het pakket kan worden gedownload hier en kan op alle gesteunde versies van AEM worden geïnstalleerd.
Om de veranderingen te illustreren, kunnen wij de knoopeigenschappen vergelijken die anoniem kunnen worden bekeken alvorens het pakket te installeren:
met de apparaten die na de installatie van het pakket zichtbaar zijn, waarbij jcr:createdBy
en jcr:lastModifiedBy
zijn niet zichtbaar:
Zie de opmerkingen bij de pakketrelease voor meer informatie.
Klikaanvallen voorkomen prevent-clickjacking
Om klikaanvallen te verhinderen, adviseert de Adobe dat u uw webserver vormt om X-FRAME-OPTIONS
HTTP-header ingesteld op SAMEORIGIN
.
Voor meer informatie over klikjacking, zie OWASP-site.
Zorg ervoor dat u de coderingstoetsen op de juiste wijze dupliceert als dat nodig is make-sure-you-properly-replicate-encryption-keys-when-needed
Bepaalde AEM en verificatieschema's vereisen dat u de coderingssleutels in alle AEM kopieert.
Alvorens u dit doet, wordt de zeer belangrijke replicatie gedaan verschillend tussen versies omdat de manier de sleutels tussen 6.3 en oudere versies verschillend zijn opgeslagen.
Zie hieronder voor meer informatie.
Toetsen voor AEM 6.3 replicating-keys-for-aem
Terwijl in oudere versies de replicatietoetsen in de bewaarplaats werden opgeslagen, beginnend met AEM 6.3 worden zij opgeslagen op het filesystem.
Als u de sleutels daarom over instanties wilt repliceren, kopieert u ze van de broninstantie naar de locatie van de doelinstanties op het bestandssysteem.
Meer specifiek, moet u het volgende doen:
-
Toegang krijgen tot de AEM instantie - doorgaans een instantie van de auteur - die het te kopiëren toetsmateriaal bevat.
-
Zoek de bundel com.adobe.granite.crypto.file in het lokale bestandssysteem. Onder dit pad bijvoorbeeld:
<author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21
De
bundle.info
in elke map de naam van de bundel aangeeft. -
Navigeer naar de gegevensmap. Bijvoorbeeld:
<author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data
-
Kopieer de HMAC- en hoofdbestanden.
-
Dan, ga naar de doelinstantie u de sleutel HMAC aan wilt dupliceren, en aan de gegevensomslag navigeren. Bijvoorbeeld:
<publish-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data
-
Plak de twee eerder gekopieerde bestanden.
-
De Cryptobundel vernieuwen als de doelinstantie al actief is.
-
Herhaal bovenstaande stappen voor alle instanties waaraan u de toets wilt repliceren.
Replicatietoetsen voor AEM 6.2 en oudere versies replicating-keys-for-aem-and-older-versions
In AEM 6.2 en oudere versies worden de sleutels in de bewaarplaats onder /etc/key
knooppunt.
De geadviseerde manier om de sleutels over uw instanties veilig te herhalen is dit knooppunt slechts te herhalen. U kunt knooppunten selectief repliceren via CRXDE Lite:
- CRXDE Lite openen door naar
https://<serveraddress>:4502/crx/de/index.jsp
- Selecteer de
/etc/key
knooppunt. - Ga naar de Replicatie tab.
- Druk op Replicatie knop.
Een beveiligingstest uitvoeren perform-a-penetration-test
De Adobe beveelt aan dat u een penetratietest van uw AEM infrastructuur uitvoert alvorens aan productie te gaan.
Aanbevolen werkwijzen voor ontwikkeling development-best-practices
Het is van essentieel belang dat de nieuwe ontwikkelingen Aanbevolen werkwijzen voor beveiliging om ervoor te zorgen dat uw AEM omgeving veilig blijft.