Elenco di controllo della sicurezza di Dispatcher
Prima di procedere con la produzione, Adobe consiglia di completare l’elenco di controllo seguente.
ATTENZIONEUtilizzo della versione più recente di Dispatcher
Installa la versione più recente disponibile per la tua piattaforma. Aggiorna l’istanza di Dispatcher per utilizzare la versione più recente e usufruire dei miglioramenti a livello di prodotto e sicurezza. Consulta Installazione di Dispatcher.
NOTA[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)httpd.conf.Limita il numero dei client che possono eseguire il flushing della cache
Adobe consiglia di limitare il numero dei client che possono eseguire il flushing della cache.
Abilitare HTTPS per la sicurezza del livello di trasporto
Adobe consiglia di abilitare il livello di trasporto HTTPS sia sulle istanze di authoring che di pubblicazione.
Limitare l’accesso
Durante la configurazione di Dispatcher, limita il più possibile l’accesso esterno. Vedi Esempio di sezione /filter nella documentazione di Dispatcher.
Accertati che l’accesso agli URL amministrativi sia interdetto
Utilizza i filtri per bloccare l’accesso esterno a qualsiasi URL amministrativo, ad esempio alla console Web.
Per un elenco degli URL da bloccare, consulta Test di sicurezza di Dispatcher.
Utilizza gli elenchi Consentiti invece degli elenchi Bloccati
Gli elenchi Consentiti permettono un migliore controllo degli accessi, in quanto presuppongono che tutte le richieste di accesso debbano essere negate, a meno che non facciano parte esplicitamente dell’elenco Consentiti. Questo modello offre un controllo più restrittivo sulle nuove richieste che potrebbero non essere state ancora esaminate o prese in considerazione durante una determinata fase della configurazione.
Eseguire Dispatcher con un utente di sistema dedicato
Quando configuri Dispatcher, accertati che il server web sia gestito da un utente dedicato con privilegi minimi. Si consiglia di concedere l’accesso in scrittura solo alla cartella della cache di Dispatcher.
Inoltre, gli utenti IIS devono configurare il proprio sito web nel modo seguente:
- Nell’impostazione del percorso fisico per il sito web, seleziona Connetti come utente specifico.
- Imposta l’utente.
Previeni gli attacchi Denial of Service (DoS)
Un attacco Denial of Service (DoS) è un tentativo di rendere la risorsa di un computer indisponibile per gli utenti a cui è destinata.
A livello di Dispatcher, esistono due metodi di configurazione per evitare gli attacchi DoS: i Filtri
-
Utilizza il modulo mod_rewrite (ad esempio, Apache 2.4) per eseguire le convalide degli URL (se le regole del pattern URL non sono troppo complesse).
-
Impedisci a Dispatcher di memorizzare in cache gli URL con estensioni fittizie utilizzando dei filtri.
Puoi modificare le regole di caching in modo da limitare il caching ai tipi mime previsti, ad esempio:.html.jpg.gif.swf.js.doc.pdf.ppt
È disponibile un esempio di file di configurazione per limitare l’accesso esterno. Include restrizioni per alcuni tipi MIME.
Per abilitare in modo sicuro la funzionalità completa sulle istanze di pubblicazione, configura i filtri per impedire l’accesso ai seguenti nodi:
/etc//libs/
Quindi, configura i filtri per consentire l’accesso ai seguenti percorsi di nodi:
-
/etc/designs/* -
/etc/clientlibs/* -
/etc/segmentation.segment.js -
/libs/cq/personalization/components/clickstreamcloud/content/config.json -
/libs/wcm/stats/tracker.js -
/libs/cq/personalization/*(JS, CSS e JSON) -
/libs/cq/security/userinfo.json(Informazioni utente CQ) -
/libs/granite/security/currentuser.json(i dati non devono essere memorizzati in cache) -
/libs/cq/i18n/*(Internalizzazione)