网络、数据库和 SSL/TLS network-database
网络配置
部署内部部署类型的架构时要检查的非常重要的事项是网络配置。 确保Tomcat服务器无法在服务器外部直接访问:
- 关闭外部IP上的Tomcat端口(8080)(必须在本地主机上工作)
- 请勿将标准HTTP端口(80)映射到Tomcat端口(8080)
如果可能,请使用安全渠道:改用POP3S而不是POP3(或通过TLS的POP3)。
数据库
您必须应用数据库引擎安全最佳实践。
SSL/TLS配置
要检查证书,您可以使用openssl。 要检查活动密码,您可以使用nmap:
#!/bin/sh
#
# usage: testSSL.sh remote.host.name [port]
#
REMHOST=$1
REMPORT=${2:-443}
echo |\
openssl s_client -connect ${REMHOST}:${REMPORT} -servername ${REMHOST} 2>&1 |\
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' |\
openssl x509 -noout -subject -dates
nmap --script ssl-enum-ciphers -p ${REMPORT} ${REMHOST}
您也可以使用同时执行这两项操作的sslyze python脚本。
python sslyze.py --sslv2 --sslv3 --tlsv1 --reneg --resum --certinfo=basic --hide_rejected_ciphers --sni=SNI myserver.com
recommendation-more-help
601d79c3-e613-4db3-889a-ae959cd9e3e1