ネットワーク、データベース、SSL/TLS network-database
ネットワーク設定
オンプレミスタイプのアーキテクチャをデプロイする場合に確認すべき非常に重要な点は、 ネットワーク設定です。 Tomcat サーバーがサーバーの外部から直接アクセスできないことを確認します。
- 外部 IP の Tomcat ポート(8080)を閉じます(localhost では動作する必要があります)。
- 標準 HTTP ポート(80)を Tomcat ポート(8080)にマッピングしないようにします。
可能な場合は、次のセキュアチャネルを使用します。POP3S 代わりに POP3 (または TLS 経由の POP3)。
データベース
データベースエンジンのセキュリティのベストプラクティスを適用する必要があります。
SSL/TLS 設定
証明書を確認するには、openssl を使用します。 アクティブな暗号をチェックするには、nmap を使用します。
#!/bin/sh
#
# usage: testSSL.sh remote.host.name [port]
#
REMHOST=$1
REMPORT=${2:-443}
echo |\
openssl s_client -connect ${REMHOST}:${REMPORT} -servername ${REMHOST} 2>&1 |\
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' |\
openssl x509 -noout -subject -dates
nmap --script ssl-enum-ciphers -p ${REMPORT} ${REMHOST}
また、sslyze Python スクリプトを使用すると、両方の処理ができます。
python sslyze.py --sslv2 --sslv3 --tlsv1 --reneg --resum --certinfo=basic --hide_rejected_ciphers --sni=SNI myserver.com
recommendation-more-help
601d79c3-e613-4db3-889a-ae959cd9e3e1