Dispatcher Security Checklist the-dispatcher-security-checklist
Adobe rekommenderar att du slutför följande checklista innan du börjar producera.
Använd den senaste versionen av Dispatcher use-the-latest-version-of-dispatcher
Installera den senaste tillgängliga versionen som är tillgänglig för din plattform. Uppgradera din Dispatcher-instans och använd den senaste versionen för att dra nytta av produkt- och säkerhetsförbättringarna. Se Installera Dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
httpd.conf
.Begränsa klienter som kan tömma cachen restrict-clients-that-can-flush-your-cache
Adobe rekommenderar att du begränsar antalet klienter som kan tömma cachen.
Aktivera HTTPS för transportlagrets säkerhet enable-https-for-transport-layer-security
Adobe rekommenderar att du aktiverar HTTPS-transportlagret på både författare- och publiceringsinstanser.
Begränsa åtkomst restrict-access
Begränsa den externa åtkomsten så mycket som möjligt när du konfigurerar Dispatcher. Se Exempel/filteravsnitt i Dispatcher-dokumentationen.
Kontrollera att åtkomst till administrativa URL:er nekas make-sure-access-to-administrative-urls-is-denied
Se till att du använder filter för att blockera extern åtkomst till administrativa URL:er, t.ex. webbkonsolen.
En lista med URL:er som måste blockeras finns i Testar Dispatcher Security.
Använd Tillåtelselista i stället för Blockeringslista use-allowlists-instead-of-blocklists
Tillåtelselista är ett bättre sätt att tillhandahålla åtkomstkontroll eftersom de till sin natur antar att alla åtkomstbegäranden ska nekas såvida de inte uttryckligen ingår i tillåtelselista. Den här modellen ger mer restriktiv kontroll över nya begäranden som kanske inte har granskats än eller övervägts under en viss konfigurationsfas.
Kör Dispatcher med en dedikerad systemanvändare run-dispatcher-with-a-dedicated-system-user
När du konfigurerar Dispatcher måste du se till att webbservern körs av en dedikerad användare med minst behörighet. Vi rekommenderar att du bara ger skrivåtkomst till cachemappen för Dispatcher.
IIS-användare måste dessutom konfigurera sin webbplats på följande sätt:
- Välj Anslut som en specifik användare i inställningen för fysisk sökväg för din webbplats.
- Ange användaren.
Förhindra DoS-attacker prevent-denial-of-service-dos-attacks
En denial of service-attack (DoS) är ett försök att göra en datorresurs otillgänglig för de avsedda användarna.
På Dispatcher-nivå finns det två metoder för att konfigurera för att förhindra DoS-attacker: Filter
-
Använd modulen mod_rewrite (till exempel Apache 2.4) för att utföra URL-valideringar (om URL-mönsterreglerna inte är för komplexa).
-
Hindra Dispatcher från att cachelagra URL:er med falska tillägg genom att använda filters.
Ändra till exempel cachningsreglerna för att begränsa cachning till de förväntade MIME-typerna, som:.html
.jpg
.gif
.swf
.js
.doc
.pdf
.ppt
En exempelkonfigurationsfil kan visas för att begränsa extern åtkomst. Den innehåller begränsningar för MIME-typer.
Om du vill aktivera alla funktioner för publiceringsinstanserna konfigurerar du filter så att de inte får åtkomst till följande noder:
/etc/
/libs/
Konfigurera sedan filter för att ge åtkomst till följande nodsökvägar:
-
/etc/designs/*
-
/etc/clientlibs/*
-
/etc/segmentation.segment.js
-
/libs/cq/personalization/components/clickstreamcloud/content/config.json
-
/libs/wcm/stats/tracker.js
-
/libs/cq/personalization/*
(JS, CSS och JSON) -
/libs/cq/security/userinfo.json
(CQ-användarinformation) -
/libs/granite/security/currentuser.json
(data får inte cachelagras) -
/libs/cq/i18n/*
(Internalisering)
Konfigurera Dispatcher för att förhindra CSRF-attacker configure-dispatcher-to-prevent-csrf-attacks
AEM tillhandahåller ett Framework som syftar till att förhindra attacker av typen Cross-Site Request. Om du vill använda ramverket på rätt sätt tillåtslista du stödet för CSRF-token i Dispatcher genom att göra följande:
- Skapa ett filter som tillåter sökvägen
/libs/granite/csrf/token.json
; - Lägg till rubriken
CSRF-Token
i avsnittetclientheaders
i Dispatcher-konfigurationen.
Förhindra clickjacking prevent-clickjacking
För att förhindra clickjacking rekommenderar Adobe att du konfigurerar webbservern så att HTTP-huvudet X-FRAME-OPTIONS
anges till SAMEORIGIN
.
Mer information om clickjacking finns på OWASP-webbplatsen.
Utför ett penetrationstest perform-a-penetration-test
Adobe rekommenderar starkt att du utför ett penetrationstest av din AEM infrastruktur innan du börjar producera.