建议在 LPM 服务器上应用以下安全策略:
最低密码策略
服务帐户
目录权限
开放端口
当执行实时病毒扫描时排除以下文件夹:
负载平衡器服务器或数据库服务器
<install-Dir>\Lexmark\Solutions\Apache2\htdocs\auth 和所有子文件夹
<install-Dir>\Lexmark\Solutions\Apache2\htdocs\printrelease 和所有子文件夹
其中 <install-Dir> 是 LDD 的安装文件夹。
应用程序服务器
<install-Dir>\Lexmark\Solutions\apps\idm 和所有子文件夹
<install-Dir>\Lexmark\Solutions\apps\lpm 和所有子文件夹
<install-Dir>\Lexmark\Solutions\apps\mfpauth 和所有子文件夹
<install-Dir>\Lexmark\Solutions\apps\printrelease 和所有子文件夹
其中 <install-Dir> 是 LDD 的安装文件夹。
打印作业的目录
例如:C:\lexmark\printrelease。
用于故障排除的安装和备份文件的目录
例如:C:\ProgramData\Lexmark\PrintManagement 和所有子文件夹。
在非高峰时段,在所有利盟服务器上运行以下程序:
完整的病毒扫描
病毒定义更新
从您的计算机,导览至 <install-Dir>\Solutions\Apache2\conf 文件夹,其中 <install-Dir> 是 Apache 的安装文件夹。
使用文本编辑器,配置下面的任何设置:
注意:
漏洞 | 指令 |
---|---|
HTTP 响应的 Web 服务器响应头可能包含以下内容:
| 将 指令设置为 ,将 指令设置为 。 |
文档、示例代码和应用程序,以及教程等其他文件可能会构成威胁。 | 注意: 示例文件列表可能会随软件版本而变化。 请移除以下示例代码和文档项:
其中 <install-Dir> 是 Apache 的安装文件夹。 |
为了帮助减少拒绝服务攻击,请指定超时。 注意: 如果需要,请为每个服务器调整这些设置。 | 执行以下操作:
|
CGI 脚本是 Web 服务器上利用最多的漏洞之一。 使用以下方法在 Apache 中运行 CGI 脚本:
| 搜索以下未注释的指令: 对于 和 指令的所有实例,请向 Web 管理员查询以确定指令是否允许 CGI 脚本。如果 CGI 脚本被 或 使用,那么这是一个查找。对于正在使用 +ExecCGI 或 ExecCGI 的 指令的所有实例,这是一个查找。如果发现 指令带有 -ExecCGI,那么这不是一个查找。如果值不存在,那么除非 语句设置为 ,否则这是一个查找。在 目录中找到脚本,然后添加适当的符号以禁用 ExecCGI,或者将 指令设置为 。 |
指令配置特定目录中可用的 Web 服务器功能。 功能允许您使用符号名称引用文件或目录,从而在将符号链接到敏感数据时引发潜在的危险。 功能启用服务器端包含,但禁用 命令以帮助防止恶意软件的执行。 功能可能会响应目录中不用于浏览的所有可用文件。 如果 URL 映射到没有 (index.html) 的目录,则可能会返回不用于浏览的目录列表。 | 将所有 指令分别设置为以下内容:
注意: 将 指令设置为 将禁用所有额外功能。 |
以下指令通过限制可接受数据的数量来减少缓冲区溢出和拒绝服务攻击:
注意: 如果出现错误,请为每个服务器调整这些值。 | 执行下面的任何操作:
注意: 其中一些值是默认值,但必须明确设置。 |
Web 服务器使用模块来获得其功能。将启用模块最小化至仅必需的模块可以减少脆弱点的数量。 Apache 代理模块允许服务器充当 HTTP 和其他协议的正向或反向代理。 | 要显示已加载模块的列表,请执行以下操作:
以下模块是必需的核心 Apache 模块:
|
扫描发送代理请求的 Web 服务器是一种常见的攻击。代理服务器可以匿名攻击其他服务器,或者将代理请求发送到受保护的网络。 以下模块是 LPM 不需要的 Apache 代理模块:
禁用 指令以防止访问用户主目录。
特定于 Web 服务器的内容可用于标识 Web 服务器的类型和版本。 禁用对各种内容的访问,以帮助减少攻击。
| 要禁用 LPM 不需要的模块,请在 httpd.conf 文件中,在适当的模块之前添加 。 |
必须保护对 Web 服务器的根目录的访问。
注意: authz_core_module 使用 指令。 | 将根 指令 ( ) 分别设置为以下内容:如果这些根目录条目不存在,则添加它们。 |
TRACE 方法不是必需的,必须禁用。 | 将 指令设置为 。如果该指令不存在,则添加它。 |
Apache 指令指定 Apache Web 服务器侦听请求的 IP 地址和端口号。将服务器配置为只侦听预期的地址和端口号。 | 为每个 指令指定 IP 地址和端口号。 |
指令指定 Apache 服务器将哪些目录识别为包含脚本。如果指令使用的 URL-path 名称与实际的文件系统路径不同,则脚本源代码可能会公开。 | 验证 指令的 和 是否匹配。正确路径的示例
错误路径的示例
|
“HTTP 请求方法”(如 PUT 和 DELETE)会修改资源,而 LPM 的运行不需要这些方法。请禁用这些方法。 | 对于除 之外的每个 指令,请设置以下内容: |
保存文件。
重新启动 Apache 服务。
确认防火墙允许以下端口号和协议:
组件 | 端口号 | 协议 | 配置 | 功能 |
---|---|---|---|---|
1 根据在 CardAuth 中定义 URL 的方式,MFPAuth 需要 443 或 9783。 注意: 服务器和数据库之间或者服务器和负载平衡器之间的配置是根据基于源 IP 的特定防火墙规则完成的。 | ||||
数据库 (Firebird) | 3050 | TCP | 应用程序服务器到数据库 | 数据库通信 |
8001 | TCP | 应用程序服务器和负载平衡器到数据库服务器 | 备份和还原代理 | |
负载平衡器 | 443 | TCP | 打开 | 负载平衡器 HTTPS TLS 通信,包括“Lexmark LDD 管理控制台” |
9700 | TCP | 打开 |
| |
9705 | TCP | 应用程序服务器到负载平衡器 | Apache 代理 | |
9780 | TCP | 打开 | 负载平衡器通信,包括“Lexmark LDD 管理控制台” | |
9783 | TCP | 打开 | 负载平衡器 HTTPS TLS 通信,包括“Lexmark LDD 管理控制台” | |
服务器 | 4111 | TCP | 应用程序服务器到应用程序服务器 | JMX |
5111 | TCP | 应用程序服务器到应用程序服务器 | RMI | |
8009 | TCP | 负载平衡器到 Tomcat | AJP 和 Tomcat 连接器(负载平衡器工作器) | |
9743 | TCP | 打开 | 从打印机或客户端软件向服务器(包括“Lexmark LDD 管理控制台”)提交 HTTPS TLS 配置文件作业 | |
9788 | TCP | 打开 | 从打印机或客户端软件向服务器(包括“Lexmark LDD 管理控制台”)提交配置文件作业 | |
打印机 | 79 | TCP | Finger | |
161 | UDP |
| ||
5000 | TCP |
| ||
5353 | UDP | 多播 DNS | ||
6000 | UDP |
| ||
6100 | UDP |
| ||
6110 | TCP |
| ||
9100 | TCP |
| ||
9300 | UDP |
| ||
9500 | TCP | NPA 协议 TCP 通信 | ||
LPM | 631 | TCP | 打开 | IPP |
5672 | TCP | 应用程序服务器到应用程序服务器 | ActiveMQ | |
9780 | TCP | 打开 | MFPAuth1 | |
61614 | TCP | 应用程序服务器到应用程序服务器 | ActiveMQ | |
61616 | TCP | 应用程序服务器到应用程序服务器 |
端口号 | 功能 |
---|---|
389 | LDAP 通信 |
636 | LDAPS 通信 |
为了保护资源,LPM REST API 令牌使用 JSON Web 令牌来验证访问声明。根据身份验证期间提供的凭证,REST 服务可能会发布管理员或用户令牌。
默认情况下,令牌有效期为 30 分钟。要更新到期时间,请执行以下操作:
从您的计算机,导览至 <install-Dir>\Lexmark\Solutions\apps\idm\WEB-INF\classes 文件夹,其中 <install-Dir> 是 LDD 的安装文件夹。
使用文本编辑器,打开 idm-production-config.properties 文件。
指定
的值。保存文件。
为了解决“不安全的直接对象引用”漏洞,LPM REST API 服务使用 hashid 屏蔽所有资源 ID。此方法防止接口将 dbid 引用公开给外部实体。
hashid 算法依靠关键短语或盐来计算和生成 hashid 值。更改加密盐值会生成不同的 hashid 计算。
要更改默认的加密盐值,请执行以下操作:
从您的计算机,导览至 <install-Dir>\Lexmark\Solutions\apps\lpm\WEB-INF\classes 文件夹,其中 <install-Dir> 是 LDD 的安装文件夹。
使用文本编辑器,打开 app-production-config.properties 文件。
指定
的值。保存文件。