我們建議您在 LPM 伺服器上套用下列安全原則:
密碼下限原則
服務帳戶
目錄權限
開啟連接埠
執行即時病毒掃描時,請排除下列資料夾:
負載平衡器伺服器或資料庫伺服器
<install-Dir>\Lexmark\Solutions\Apache2\htdocs\auth 和所有子資料夾
<install-Dir>\Lexmark\Solutions\Apache2\htdocs\printrelease 和所有子資料夾
其中 <install-Dir> 是 Lexmark 文件分送系統 (LDD) 的安裝資料夾。
應用程式伺服器
<install-Dir>\Lexmark\Solutions\apps\idm 和所有子資料夾
<install-Dir>\Lexmark\Solutions\apps\lpm 和所有子資料夾
<install-Dir>\Lexmark\Solutions\apps\mfpauth 和所有子資料夾
<install-Dir>\Lexmark\Solutions\apps\printrelease 和所有子資料夾
其中 <install-Dir> 是 Lexmark 文件分送系統 (LDD) 的安裝資料夾。
列印工作的目錄
例如,C: \lexmark\printrelease。
用於安裝的目錄,以及用於疑難排解的備份檔案
例如,C: \ProgramData\Lexmark\PrintManagement 和所有子資料夾。
在離峰時段於所有 Lexmark 伺服器上執行下列作業:
全面病毒掃描
病毒定義更新
從您的電腦,導覽至 <install-Dir>\Solutions\Apache2\conf 資料夾,其中 <install-Dir> 是 Apache 的安裝資料夾。
使用文字編輯器,配置下列任一項:
請注意:
弱點 | 指令 |
---|---|
HTTP 回應的網頁伺服器回應標頭可能包含下列項目:
| 將 指令設為 ,並將 指令設為 。 |
其他檔案,例如說明文件、範例代碼和應用程式,以及課程都可能是威脅。 | 請注意: 範例檔案清單可能會隨軟體版本而變更。 移除下列範例代碼和文件項目:
其中 <install-Dir> 是 Apache 的安裝資料夾。 |
如要協助減少阻斷服務攻擊,請指定逾時。 請注意: 如有必要,請為每個伺服器調整這些設定。 | 請執行以下各項:
|
CGI script 是 Web 伺服器最常被利用的弱點之一。 使用下列方法在 Apache 執行 CGI script:
| 搜尋下列未註解的指令: 若為 和 指令的執行個體,請向 Web 管理者查詢,以判定指令是否允許 CGI 指令碼。若 或 指令使用 CGI script,則為發現。若為使用 +ExecCGI 或 ExecCGI 的 指令執行個體,則為發現。若 指令與 -ExecCGI 一起被發現,則不是發現。如果值不存在,則除非 聲明設定為 ,否則會是發現。找出 目錄中的 script,然後新增適當符號以停用 ExecCGI,或將 指令設定為 。 |
指令會配置特定目錄中可用的 Web 伺服器功能。 功能可讓您使用符號名稱參考檔案或目錄,在符號連結至敏感資料時可能造成危險。 功能可啟用伺服器端包含但停用 指令,以協助防止惡意軟體的執行。 功能可能會回應目錄中所有不需瀏覽的檔案。 若 URL 對應至沒有 (index.html) 的目錄,則可能會傳回不需瀏覽的目錄清單。 | 分別設定下列所有 指令:
請注意: 將 指令設定為 會停用所有額外功能。 |
下列指令可限制接受的資料量,以減少緩衝區溢位和阻斷服務攻擊:
請注意: 如果發生錯誤,請對每個伺服器調整這些值。 | 請執行下列任一項:
請注意: 其中有些值是預設值,但必須明確設定。 |
Web 伺服器利用模組取得功能。將啟用的模組最小化到僅剩所需的模組,即可減少弱點的數量。 Apache Proxy 模組可讓伺服器作為 HTTP 和其他通訊協定的正向或反向 Proxy。 | 若要顯示已載入模組的清單,請執行下列動作:
下列模組為必要的核心 Apache 模組:
|
傳送 Proxy 要求的 Web 伺服器掃描,是一種常見的攻擊。Proxy 伺服器可以將其他伺服器上的攻擊匿名,或傳送 Proxy 要求至受保護的網路。 下列模組為 Apache Proxy 模組且 LPM 不需要:
停用 指令,以防止存取使用者根目錄。
Web 伺服器特定的內容可用於識別 Web 伺服器的類型與版本。 停用各種內容的存取,以協助減少攻擊。
| 若要停用 LPM 不需要的模組,請在 httpd.conf 檔案中,適當的模組前新增 。 |
Web 伺服器的根目錄存取必須受到保護。
請注意: authz_core_module 使用 指令。 | 將根 指令( )分別設為下列各項:如果這些根目錄項目不存在,請新增之。 |
TRACE 方法並非必要且必須停用。 | 將 指令設為 。如果此指令不存在,請新增之。 |
Apache 指令指定 Apache Web 伺服器應要求接聽的 IP 位址和連接埠號碼。將伺服器配置為只接聽預期的位址和連接埠號碼。 | 指定每個 指令的 IP 位址和連接埠號碼。 |
會指定 Apache 伺服器要將哪些目錄辨識為包含 script。如果指令使用與實際檔案系統路徑不同的 URL 路徑名稱,可能會暴露 script 原始碼。 | 驗證 指令的 與 是否相符。正確路徑的範例
不正確路徑的範例
|
PUT 與 DELETE 等 HTTP 要求方法會修改資源,且非運作 LPM 的必備項目。請停用這些方法。 | 請對每個 指令( 除外)設定下列項目: |
儲存該檔案。
重新啟動 Apache 服務。
請確定防火牆允許下列連接埠號碼和通訊協定:
元件 | 連接埠號碼 | 通訊協定 | 功能 |
---|---|---|---|
資料庫 (Firebird) | 3050 | TCP | 資料庫通訊 |
8001 | TCP | 備份及回復代理程式 | |
負載平衡器 | 443 | TCP | 負載平衡器 HTTPS TLS 通訊,包括 Lexmark Management Console-LDD 管控平台 |
4113 | TCP | Web 介面卡 (JMX) | |
9700 | TCP |
| |
9705 | TCP | Apache 代理程式 | |
9780 | TCP | 負載平衡器通訊,包括 Lexmark Management Console-LDD 管控平台 | |
9783 | TCP | 負載平衡器 HTTPS TLS 通訊,包括 Lexmark Management Console-LDD 管控平台 | |
伺服器 | 4111 | TCP | JMX |
5111 | TCP | RMI | |
8009 | TCP | AJP 與 Tomcat 連接器(負載平衡器工作器) | |
9743 | TCP | 從印表機或用戶端軟體提出 HTTPS TLS 設定檔工作至伺服器,包括 Lexmark Management Console-LDD 管控平台 | |
9788 | TCP | 從印表機或用戶端軟體提出設定檔工作至伺服器,包括 Lexmark Management Console-LDD 管控平台 | |
印表機 | 79 | TCP | Finger |
161 | UDP |
| |
5000 | TCP |
| |
5353 | UDP | 多點傳送 DNS | |
6000 | UDP |
| |
6100 | UDP |
| |
6110 | TCP |
| |
9100 | TCP |
| |
9300 | UDP |
| |
9500 | TCP | NPA 通訊協定 TCP 通訊 | |
LPM | 631 | TCP | IPP |
5672 | TCP | ActiveMQ | |
9780 | TCP | MFPAuth | |
61614 | TCP | ActiveMQ | |
61616 | TCP |
連接埠號碼 | 功能 |
---|---|
389 | LDAP 通訊 |
636 | LDAPS 通訊 |
為保護資源,LPM REST API token 使用 JSON web token 來驗證存取聲明。視鑑別期間提供的認證而定,REST 服務可能會發出管理員或使用者 token。
依預設,token 的有效性為 30 分鐘。若要更新逾期時間,請執行下列動作:
從您的電腦,導覽至 <install-Dir>\Lexmark\Solutions\apps\idm\WEB-INF\classes 資料夾,其中 <install-Dir> 是 Lexmark 文件分送系統 (LDD) 的安裝資料夾。
使用文字編輯器,開啟 idm-production-config.properties 配置檔案。
指定
的值。儲存該檔案。
為了處理「不安全直接物件參考」弱點,LPM REST API 服務使用 hashID 遮罩所有資源 ID。此方法可防止介面對外公開 DBID 參考。
hashID 演算法利用關鍵字或 salt 來計算並產生 hashID 值。變更 salt 值會產生不同的 hashID 計算。
若要變更預設 salt 值,請執行下列步驟:
從您的電腦,導覽至 <install-Dir>\Lexmark\Solutions\apps\lpm\WEB-INF\classes 資料夾,其中 <install-Dir> 是 Lexmark 文件分送系統 (LDD) 的安裝資料夾。
使用文字編輯器,開啟 app-production-config.properties 檔案。
指定
的值。儲存該檔案。