Show Menu
主题×

调度程序安全核对清单

作为前端系统的调度程序为您的Adobe Experience manager基础结构提供了额外的安全层。 Adobe强烈建议您在开始生产之前先完成以下核对清单。
您还必须先完成AEM版本的安全核对清单,然后才能上线。 请参阅相应的 Adobe Experience manager文档

使用最新版Dispatcher

您应安装适用于您的平台的最新版本。 您应升级Dispatcher实例以使用最新版本来利用产品和安全增强功能。 请参 阅安装Dispatcher
您可以通过查看调度程序日志文件来检查调度程序安装的当前版本。
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
要查找日志文件,请检查您的调度程序配置 httpd.conf

限制可刷新缓存的客户端

为传输层安全启用HTTPS

Adobe建议在创作实例和发布实例上启用HTTPS传输层。

限制访问

配置调度程序时,应尽可能限制外部访问。 请参 阅调度程序文档中的示例 /filter部分。

确保拒绝对管理URL的访问

确保使用过滤器阻止对任何管理URL(如Web控制台)的外部访问。
请参 阅测试调度程序安全 ,以获取需要阻止的URL列表。

使用白名单而不是黑名单

白名单是提供访问控制的更好方法,因为白名单本身就认为,除非所有访问请求明确地包含在白名单中,否则应拒绝所有访问请求。 此模型对某些配置阶段可能尚未审查或考虑的新请求提供更严格的控制。

与专用系统用户一起运行调度程序

配置调度程序时,应确保Web服务器由具有最低权限的专用用户运行。 建议仅授予对调度程序缓存文件夹的写访问权限。
此外,IIS用户需要按如下方式配置其网站:
  1. 在网站的物理路径设置中,选择 Connect作为特定用户
  2. 设置用户。

防止拒绝服务(DoS)攻击

拒绝服务(DoS)攻击是使计算机资源对其目标用户不可用的尝试。
在调度程序级别,有两种配置方法可防止DoS攻击:滤 filter
  • 使用mod_rewrite模块(例如, Apache 2.4 )执行URL验证(如果URL模式规则不太复杂)。
  • 防止调度程序使用过滤器缓存具有虚假扩展的 URL 。 例如,更改缓存规则以将缓存限制为预期的mime类型,例如:
    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt 可以看到一个用于限制外部访问 的示例配置文件 ,其中包括MIME类型的限制。
要安全地启用发布实例的完整功能,请配置过滤器以阻止对以下节点的访问:
  • /etc/
  • /libs/
然后,配置过滤器以允许访问以下节点路径:
  • /etc/designs/*
  • /etc/clientlibs/*
  • /etc/segmentation.segment.js
  • /libs/cq/personalization/components/clickstreamcloud/content/config.json
  • /libs/wcm/stats/tracker.js
  • /libs/cq/personalization/* (JS、CSS和JSON)
  • /libs/cq/security/userinfo.json (CQ用户信息)
  • /libs/granite/security/currentuser.json ( 数据不得缓存 )
  • /libs/cq/i18n/* (内部化)

配置调度程序以防止CSRF攻击

AEM提供了一 个框架 ,旨在防止跨站点请求伪造攻击。 为了正确利用此框架,您需要在调度程序中将CSRF令牌支持列入白名单。 您可以通过以下方式执行此操作:
  1. 创建允许路径的过 /libs/granite/csrf/token.json 滤器;
  2. 将头添 CSRF-Token 加到调度程 clientheaders 序配置的部分。

防止Clickjacking

为防止点击劫持,我们建议您配置Web服务器以提供 X-FRAME-OPTIONS 设置为的HTTP头 SAMEORIGIN

执行渗透测试

Adobe强烈建议在开始生产之前对AEM基础架构执行渗透测试。