WEB开发网
开发学院网络安全安全技术 WebSphere MQ 安全性炙手可热 阅读

WebSphere MQ 安全性炙手可热

 2009-09-28 00:00:00 来源:WEB开发网   
核心提示: 这当然是最小设置,仅仅限制管理访问权限,WebSphere MQ 安全性炙手可热(6),相邻的队列管理器仍然可以将消息放到 SYSTEM.* 队列和任意应用程序队列上,但这对信任队列管理器网络可能已经足够好了,启用触发),但将不能够创建或删除对象,MQI 通道一旦其他队列管理器的连接按照您的要求

这当然是最小设置,仅仅限制管理访问权限。相邻的队列管理器仍然可以将消息放到 SYSTEM.* 队列和任意应用程序队列上,但这对信任队列管理器网络可能已经足够好了。

MQI 通道

一旦其他队列管理器的连接按照您的要求锁定后,您将需要考虑 MQI 通道。这些通过 SVRCONN 定义进行表示。希望您的 SYSTEM.DEF.SVRCONN 和 SYSTEM.AUTO.SVRCONN 已经设置而且未使用。如果不是这样,这些通道将需要接收此处所述的更新。无论您怎么做,都不要让这些通道保持没有 MCAUSER 集的情况。

我们还应该暂时停下来讨论一下 SYSTEM.ADMIN.SVRCONN。如果 WebSphere MQ 管理团队使用桌面客户端访问队列管理器,此处所建议的配置将阻止此访问。但在没有身份验证的情况下,如果让通道处于未受保护的状态,则任何人都可以拥有管理权限。这里有两个选项:以有限的方式仅仅为管理团队实现身份验证,或者要求管理员登录到服务器进行配置更改。为了简化此讨论,我们将假定采用后一种方法。不过,如果您首先准备考虑转向 SSL 和/或出口,则不会考虑此选项。

应用了更改后,SYSTEM.ADMIN.SVRCONN 将仍然可用,WebSphere MQ Explorer 之类的桌面工具一定程度上将仍然可以工作。用户将能够浏览、获取或发出消息、查询任意对象甚至还能够设置对象(例如,启用触发),但将不能够创建或删除对象,也不能控制通道。

# Allow MCAUSER to connect to QMgr 
setmqaut -m QMGR -g mqmmqi -t qmgr -all +connect +allmqi +dsp 
 
# Allow inquire/display of non-queue objects 
# Some of these object types are new for v6 
setmqaut -m QMGR -g mqmmqi -n '**' -t namelist -all +dsp +inq 
setmqaut -m QMGR -g mqmmqi -n '**' -t process -all +dsp +inq 
setmqaut -m QMGR -g mqmmqi -n '**' -t authinfo -all +dsp +inq 
setmqaut -m QMGR -g mqmmqi -n '**' -t channel -all +dsp 
setmqaut -m QMGR -g mqmmqi -n '**' -t service -all +dsp 
setmqaut -m QMGR -g mqmmqi -n '**' -t listener -all +dsp 
setmqaut -m QMGR -g mqmmqi -n '**' -t clntconn -all +dsp 
 
# Default allow-all to all queues 
setmqaut -m QMGR -g mqmmqi -n '**' -t queue -all +allmqi +dsp 
 
# This gets us back to almost full admin but positions us to set 
# additional restrictions. 
 
# Restrict access to SYSTEM.** queues. Browsing and display of these 
# queues is reasonable but not PUT, SET, ALTUSR, etc. 
setmqaut -m QMGR -g mqmmqi -n 'SYSTEM.**' -t queue -all +inq +browse +dsp 
 
# Allow limited access to command queue. 
setmqaut -m QMGR -g mqmmqi -n 'SYSTEM.ADMIN.COMMAND.QUEUE' -t queue -all +inq 
+put +dsp 
 
# Allow access to SYSTEM.MQEXPLORER.REPLY.MODEL.QUEUE if it exists. 
setmqaut -m QMGR -g mqmmqi -n 'SYSTEM.MQEXPLORER.REPLY.MODEL.QUEUE' -t queue  
-all +inq +dsp +put 
 
# Allow access to SYSTEM.DEFAULT.MODEL.QUEUE. 
setmqaut -m QMGR -g mqmmqi -n 'SYSTEM.DEFAULT.MODEL.QUEUE' -t queue -all 
+allmqi +dsp 
 
# Restrict access to DLQ. This assumes SYSTEM DLQ is used. If not, 
# you might want to script this to inquire on the QMgr DLQ property 
# and set that. 
setmqaut -m QMGR -g mqmmqi -n 'SYSTEM.DEAD.LETTER.QUEUE' -t queue -all +put 
+inq +browse +dsp

上一页  1 2 3 4 5 6 7  下一页

Tags:WebSphere MQ 安全性

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接