Dispatcher Security Checklist the-dispatcher-security-checklist
Adobe raadt je aan de volgende checklist in te vullen voordat je gaat produceren.
De nieuwste versie van Dispatcher gebruiken use-the-latest-version-of-dispatcher
Installeer de nieuwste beschikbare versie die beschikbaar is voor uw platform. Voer een upgrade uit op uw Dispatcher-exemplaar om de nieuwste versie te gebruiken en zo te profiteren van product- en beveiligingsverbeteringen. Zie Installerend Dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
httpd.conf
.Beperk clients die uw cache kunnen leegmaken restrict-clients-that-can-flush-your-cache
Adobe adviseert dat u de cliƫnten beperkt die uw geheime voorgeheugen kunnen leegmaken.
HTTPS inschakelen voor beveiliging van transportlagen enable-https-for-transport-layer-security
Adobe raadt aan de HTTPS-transportlaag in te schakelen voor zowel auteur- als publicatieinstanties.
Toegang beperken restrict-access
Wanneer het vormen van de Dispatcher, beperking externe toegang zoveel mogelijk. Zie Sectie van het Voorbeeld /filterin de documentatie van Dispatcher.
Zorg ervoor dat toegang tot administratieve URL's wordt geweigerd make-sure-access-to-administrative-urls-is-denied
Zorg ervoor dat u filters gebruikt om externe toegang tot eventuele beheerURL's, zoals de webconsole, te blokkeren.
Zie het Testen de Veiligheid van Dispatchervoor een lijst van URLs die moet worden geblokkeerd.
Lijsten van gewenste personen gebruiken in plaats van Lijsten van gewezen personen use-allowlists-instead-of-blocklists
Lijsten van gewenste personen zijn een betere manier om toegangscontrole te verlenen aangezien zij inherent, veronderstellen zij dat alle toegangsverzoeken zouden moeten worden ontkend tenzij zij uitdrukkelijk deel van de lijst van gewenste personen uitmaken. Dit model verstrekt meer restrictieve controle over nieuwe verzoeken die nog niet zouden kunnen zijn herzien of tijdens een bepaalde configuratiestadium overwogen.
Dispatcher uitvoeren met een toegewezen systeemgebruiker run-dispatcher-with-a-dedicated-system-user
Configureer de Dispatcher zodanig dat een toegewijde, minst geprivilegieerde gebruikersaccount de webserver uitvoert. Adobe raadt u aan alleen schrijftoegang te verlenen tot de cachemap van Dispatcher.
IIS-gebruikers moeten hun website ook als volgt configureren:
- In het fysieke weg plaatsen voor uw website, uitgezochte verbind als specifieke gebruiker.
- Stel de gebruiker in.
Ontkenning van service-aanvallen (DoS) voorkomen prevent-denial-of-service-dos-attacks
Een ontkenning van de dienst (Dos) aanval is een poging om een computermiddel niet beschikbaar te maken aan zijn voorgenomen gebruikers.
Op het niveau van Dispatcher, zijn er twee methodes om aanvallen van Dos te verhinderen: Filters
-
Gebruik mod_rewrite module (bijvoorbeeld, Apache 2.4) om URL validaties uit te voeren (als de URL patroonregels niet te complex zijn).
-
Verhinder Dispatcher URLs met valse uitbreidingen in het voorgeheugen onderbrengen door filterste gebruiken.
Wijzig bijvoorbeeld de caching-regels om caching te beperken tot de verwachte mime-typen, zoals:.html
.jpg
.gif
.swf
.js
.doc
.pdf
.ppt
Een dossier van de voorbeeldconfiguratie kan voor worden gezien die externe toegangbeperken. Het bevat beperkingen voor mime-typen.
Als u volledige functionaliteit wilt inschakelen voor de publicatie-instanties, configureert u filters om toegang tot de volgende knooppunten te voorkomen:
/etc/
/libs/
Configureer vervolgens filters om toegang tot de volgende knooppuntpaden toe te staan:
-
/etc/designs/*
-
/etc/clientlibs/*
-
/etc/segmentation.segment.js
-
/libs/cq/personalization/components/clickstreamcloud/content/config.json
-
/libs/wcm/stats/tracker.js
-
/libs/cq/personalization/*
(JS, CSS en JSON) -
/libs/cq/security/userinfo.json
(CQ-gebruikersgegevens) -
/libs/granite/security/currentuser.json
(gegevens moeten niet in het voorgeheugen ondergebracht worden) -
/libs/cq/i18n/*
(Internationalisatie)
Dispatcher configureren om CSRF-aanvallen te voorkomen configure-dispatcher-to-prevent-csrf-attacks
AEM verstrekt a kadergericht op het verhinderen van de aanvallen van het Verzoek van de Versmederij van de Depositovergangen van de Depositovergangen. Om dit kader goed te gebruiken, lijst van gewenste personen symbolische steun CSRF in Dispatcher door het volgende te doen:
- Een filter maken om het
/libs/granite/csrf/token.json
-pad toe te staan; - Voeg de header
CSRF-Token
toe aan de sectieclientheaders
van de Dispatcher-configuratie.
Klikaanvallen voorkomen prevent-clickjacking
Om te voorkomen dat wordt geklikt, raadt Adobe u aan uw webserver te configureren om de X-FRAME-OPTIONS
HTTP-header die is ingesteld op SAMEORIGIN
, op te geven.
Voor meer informatie bij klikjacking, zie de plaats van OWASP.
Een penetratietest uitvoeren perform-a-penetration-test
Adobe raadt u aan een penetratietest van uw AEM-infrastructuur uit te voeren voordat u verdergaat met de productie.