WebSphere MQ 安全性炙手可热

核心提示： 这当然是最小设置，仅仅限制管理访问权限，WebSphere MQ 安全性炙手可热(6)，相邻的队列管理器仍然可以将消息放到 SYSTEM.* 队列和任意应用程序队列上，但这对信任队列管理器网络可能已经足够好了，启用触发），但将不能够创建或删除对象，MQI 通道一旦其他队列管理器的连接按照您的要求

这当然是最小设置，仅仅限制管理访问权限。相邻的队列管理器仍然可以将消息放到 SYSTEM.* 队列和任意应用程序队列上，但这对信任队列管理器网络可能已经足够好了。

MQI 通道

一旦其他队列管理器的连接按照您的要求锁定后，您将需要考虑 MQI 通道。这些通过 SVRCONN 定义进行表示。希望您的 SYSTEM.DEF.SVRCONN 和 SYSTEM.AUTO.SVRCONN 已经设置而且未使用。如果不是这样，这些通道将需要接收此处所述的更新。无论您怎么做，都不要让这些通道保持没有 MCAUSER 集的情况。

我们还应该暂时停下来讨论一下 SYSTEM.ADMIN.SVRCONN。如果 WebSphere MQ 管理团队使用桌面客户端访问队列管理器，此处所建议的配置将阻止此访问。但在没有身份验证的情况下，如果让通道处于未受保护的状态，则任何人都可以拥有管理权限。这里有两个选项：以有限的方式仅仅为管理团队实现身份验证，或者要求管理员登录到服务器进行配置更改。为了简化此讨论，我们将假定采用后一种方法。不过，如果您首先准备考虑转向 SSL 和/或出口，则不会考虑此选项。

应用了更改后，SYSTEM.ADMIN.SVRCONN 将仍然可用，WebSphere MQ Explorer 之类的桌面工具一定程度上将仍然可以工作。用户将能够浏览、获取或发出消息、查询任意对象甚至还能够设置对象（例如，启用触发），但将不能够创建或删除对象，也不能控制通道。

#　Allow　MCAUSER　to　connect　to　QMgr　
setmqaut　-m　QMGR　-g　mqmmqi　-t　qmgr　-all　+connect　+allmqi　+dsp　
　
#　Allow　inquire/display　of　non-queue　objects　
#　Some　of　these　object　types　are　new　for　v6　
setmqaut　-m　QMGR　-g　mqmmqi　-n　'**'　-t　namelist　-all　+dsp　+inq　
setmqaut　-m　QMGR　-g　mqmmqi　-n　'**'　-t　process　-all　+dsp　+inq　
setmqaut　-m　QMGR　-g　mqmmqi　-n　'**'　-t　authinfo　-all　+dsp　+inq　
setmqaut　-m　QMGR　-g　mqmmqi　-n　'**'　-t　channel　-all　+dsp　
setmqaut　-m　QMGR　-g　mqmmqi　-n　'**'　-t　service　-all　+dsp　
setmqaut　-m　QMGR　-g　mqmmqi　-n　'**'　-t　listener　-all　+dsp　
setmqaut　-m　QMGR　-g　mqmmqi　-n　'**'　-t　clntconn　-all　+dsp　
　
#　Default　allow-all　to　all　queues　
setmqaut　-m　QMGR　-g　mqmmqi　-n　'**'　-t　queue　-all　+allmqi　+dsp　
　
#　This　gets　us　back　to　almost　full　admin　but　positions　us　to　set　
#　additional　restrictions.　
　
#　Restrict　access　to　SYSTEM.**　queues.　Browsing　and　display　of　these　
#　queues　is　reasonable　but　not　PUT,　SET,　ALTUSR,　etc.　
setmqaut　-m　QMGR　-g　mqmmqi　-n　'SYSTEM.**'　-t　queue　-all　+inq　+browse　+dsp　
　
#　Allow　limited　access　to　command　queue.　
setmqaut　-m　QMGR　-g　mqmmqi　-n　'SYSTEM.ADMIN.COMMAND.QUEUE'　-t　queue　-all　+inq　
+put　+dsp　
　
#　Allow　access　to　SYSTEM.MQEXPLORER.REPLY.MODEL.QUEUE　if　it　exists.　
setmqaut　-m　QMGR　-g　mqmmqi　-n　'SYSTEM.MQEXPLORER.REPLY.MODEL.QUEUE'　-t　queue　　
-all　+inq　+dsp　+put　
　
#　Allow　access　to　SYSTEM.DEFAULT.MODEL.QUEUE.　
setmqaut　-m　QMGR　-g　mqmmqi　-n　'SYSTEM.DEFAULT.MODEL.QUEUE'　-t　queue　-all　
+allmqi　+dsp　
　
#　Restrict　access　to　DLQ.　This　assumes　SYSTEM　DLQ　is　used.　If　not,　
#　you　might　want　to　script　this　to　inquire　on　the　QMgr　DLQ　property　
#　and　set　that.　
setmqaut　-m　QMGR　-g　mqmmqi　-n　'SYSTEM.DEAD.LETTER.QUEUE'　-t　queue　-all　+put　
+inq　+browse　+dsp