Nätverk, databaser och SSL/TLS network-database
Nätverkskonfiguration
En mycket viktig sak att kontrollera när en lokal typ av arkitektur distribueras är nätverkskonfigurationen. Kontrollera att Tomcat-servern INTE är direkt tillgänglig utanför servern:
- Stäng Tomcat-porten (8080) på externa IP-adresser (måste fungera på localhost)
- Mappa inte standardporten för HTTP (80) till Tomcat (8080)
Använd en säker kanal när det är möjligt: POP3S i stället för POP3 (eller POP3 över TLS).
Databas
Du måste tillämpa de bästa säkerhetsrutinerna för din databasmotor.
SSL-/TLS-konfiguration
Om du vill kontrollera certifikatet kan du använda openssl. Om du vill kontrollera aktiva ciphers kan du använda nmap:
#!/bin/sh
#
# usage: testSSL.sh remote.host.name [port]
#
REMHOST=$1
REMPORT=${2:-443}
echo |\
openssl s_client -connect ${REMHOST}:${REMPORT} -servername ${REMHOST} 2>&1 |\
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' |\
openssl x509 -noout -subject -dates
nmap --script ssl-enum-ciphers -p ${REMPORT} ${REMHOST}
Du kan också använda ett sslyze-python-skript som gör båda.
python sslyze.py --sslv2 --sslv3 --tlsv1 --reneg --resum --certinfo=basic --hide_rejected_ciphers --sni=SNI myserver.com
recommendation-more-help
601d79c3-e613-4db3-889a-ae959cd9e3e1