Consejos de seguridad con Alfresco
•
2 recomendaciones•5,921 vistas
Cuanta más información almacenamos en Alfresco, más necesidades de protegerla tenemos. En este webinar haremos un repaso sobre los consejos de seguridad más importantes a tener en cuenta en Alfresco, tanto a nivel de aplicación como a nivel de servidor, red e intrusiones.
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Destacado
Destacado (20)
Similar a Consejos de seguridad con Alfresco
Similar a Consejos de seguridad con Alfresco (20)
Más de Toni de la Fuente
Más de Toni de la Fuente (20)
Último
Último (20)
Consejos de seguridad con Alfresco
- 1. Consejos de seguridad con Alfresco Toni de la Fuente Senior Solutions Engineer twitter: @ToniBlyx - blog: blyx.com
- 2. Contenidos • Introducción • Ciclo del proyecto y seguridad o Planificación o Instalación o Configuración y fortificación o Mantenimento o Monitorización y auditoría • Otras tareas relacionadas con la seguridad • Conclusiones * No los vamos a cubrir en esta sesión
- 3. Introducción
- 4. Introducción • ¿Por qué es importante la seguridad en Alfresco? o Es importante si tus contenidos lo son. • Si la caída de Alfresco te supone un problema económico para tu organización, la seguridad del mismo es importante. • La seguridad es un proceso no un producto. • Continuidad de las operaciones, protección, integridad, privacidad. • Llevar al máximo el MTBF, garantizar el mínimo MTTR posible, contemplados en el Plan de Seguridad de la organización, Plan de contingencias y Plan de recuperación de desastres.
- 5. Ciclo del Proyecto y Seguridad
- 6. Planificación y análisis previo • ¿Qué debo securizar? Depende… o Necesidades del proyecto o Interfaces o Usuarios, aplicaciones o ambos o Personalización o Arquitectura, alta disponibilidad y escalabilidad Document Collaboration Web Content Records Email Management Management Management Archive ¿Interfaces? Número de…? Personalización?
- 7. Depende de la arquitectura de red B A Share Alfresco App Srv DataBase Content Index Store
- 8. Instalación
- 9. Buenas prácticas y recomendaciones 1/2 • Usar un usuario no “root” o Configura todos los puertos por encima del 1024 • Evitar contraseñas por defecto (admin, db). • Cambiar certificados y claves por defecto de SOLR. o Usa keytool o tus propios certificados. o installRoot/alf_data/solr/CreateSSLKeystores.txt • Permisos de los ficheros de configuración, contentstore, índices y logs. Nadie salvo el usuario de la aplicación debe poder acceder. o chown –R alfresco:alfresco installRoot/ o chmod –R 600 installRoot/
- 10. Buenas prácticas y recomendaciones 2/2 • Antes de realizar la instalación usa Alfresco Environment Validation Tool para evitar servicios y/o puertos conflictivos. • Activa SSL siempre que sea posible: o No uses certificados autofirmados para producción. o Comprueba la fortaleza del certificado en: • https://www.ssllabs.com/ssldb/analyze.html • Usa Apache (u otro) para proteger el servidor de aplicaciones y los servicios. • En Linux puedes usar SELinux • Cuando sea posible, usar el bundle para tener los binarios externos controlados y evitar una posible suplantación.
- 12. ¿Qué puertos debo abrir y conocer? IN
- 13. ¿Qué puertos debo abrir y conocer? OUT * Habría que permitir el tráfico a XAM y a servicios remotos de Facebook, Twitter,LinkedIn, Slideshare, Youtube, Flickr o Blogs, en caso de usar el Publishing Framework.
- 14. Control y revisión • Controla los procesos y los puertos que usa el sistema (Linux): # netstat -tulpn|grep -i java! ! tcp 0 0 0.0.0.0:50500 0.0.0.0:* LISTEN 8591/java tcp 0 0 127.0.0.1:8005 0.0.0.0:* LISTEN 8591/java tcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN 8591/java tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 8591/java tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 8591/java tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 8591/java tcp 0 0 0.0.0.0:8443 0.0.0.0:* LISTEN 8591/java tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 8591/java tcp 0 0 0.0.0.0:7070 0.0.0.0:* LISTEN 8591/java udp 0 0 0.0.0.0:137 0.0.0.0:* 8591/java
- 15. Activación de SSL para los servicios • HTTP – HTTPS o Appliance con soporte SSL offloading o Activar HTTPS en el frontal Apache o Activar HTTPS en Servidor de Aplicaciones • FTP – FTPS o Ver documentación oficial • SharePoint (jetty) SSL o Así evitarás problemas de los usuarios (MS Office) o Ver documentación oficial • SMTP – SMTPS: tanto IN como OUT • IMAP y JGroups (workarounds)
- 16. Configuración post instalación • Configuración de IPtables para redireccionar puertos inferiores a 1024: o Ejemplo para FTP: • iptables -t nat -A PREROUTING -p tcp --dport 21-j REDIRECT --to-ports 2121 o http://wiki.alfresco.com/wiki/File_Server_Configuration • Cambia las credenciales de JMX o http://blyx.com/2011/12/20/persistencia-en-las- credenciales-jmx-de-alfresco/ • Asegúrate que los logs están donde tu quieres o http://blyx.com/2011/06/02/consejos-sobre-los-logs-en- alfresco/
- 17. Configuración post instalación • ¿Vas a usar autenticación externa? o Cifra la comunicación entre Alfresco y el LDAP/AD o Sistema de SSO (usa el puerto 636 TCP para LDAPS) • Desactiva los servicios que no necesites: o ftp.enabled=false o cifs.enabled=false o imap.server.enabled=false o nfs.enabled=false o webdav: se desactiva comentando las opciones correspondientes en tomcat/webapps/alfresco/WEB-INF/ web.xml o SharePoint: no instales el módulo si no lo necesitas.
- 18. Configuración post instalación • Configuración de las copias de seguridad o Backup Lucene 2 AM • installRoot/alf_data/backup-lucene-indexes o Backup SOLR 2AM Alfresco core y 4AM Archive core. • installRoot/workspace-SpacesStore • installRoot/archive-SpacesStore o Backup SQL. o Backup contentStore. • Considera el uso de snapshots de LVM • Recuerda que se pueden hacer backup de sitios con: o http://code.google.com/p/share-import-export/ • Prueba la recuperación como medida preventiva de forma asidua y planificada. • Incorpora el procedimiento comprobado de recuperación de Alfresco a tu plan de contingencia. • Contempla usar Replication Service en el plan de recuperación de desastres.
- 19. Configuración post instalación • Desactivar usuario invitado (Guest): o Para NTLM-Default: • alfresco.authentication.allowGuestLogin=false (true por defecto) o Para pass-through: • passthru.authentication.guestAccess=false (false por defecto) o Para LDAP/AD: • ldap.authentication.allowGuestLogin=false (true por defecto) • Limitar el uso por usuarios y estado del repositorio: o server.maxusers=-1 (-1 no limit) o server.allowedusers=admin,toni,bill (vacio para todos) o server.transaction.allow-writes=true (false para poner todo el sistema en solo lectura)
- 20. Configuración post instalación • Desactivar papelera de reciclaje: o Crear un fichero *-context.xml con el siguiente contenido: <bean id="storeArchiveMap" class="org.alfresco.repo.node.StoreArchiveMap">! <property name="archiveMap">! <map>! ! ! </map>! </property>! <property name="tenantService">! <ref bean="tenantService" />! </property>! </bean>!
- 21. Mantenimiento
- 22. Mantenimiento • Revisión diaria de los log y registro de auditoría. • Revisión diaria del backup. • Borrado de los ficheros huérfanos, rotación de los logs, limpiado de temporales. o Script en cron más info aquí: • http://www.fegor.com/2011/08/mantenimiento- diario-de-alfresco.html
- 24. Monitorización y Auditoría • JMX o Jconsole o VisualVM • Hyperic o http://blyx.com/2009/11/19/monitoring-alfresco- nagiosicinga-hyperic-auditsurf-jmx-rocks/ • Nagios/Icinga o http://blyx.com/2009/11/19/monitoring-alfresco- nagiosicinga-hyperic-auditsurf-jmx-rocks/ • Javamelody o http://blyx.com/2010/09/13/monitoring-alfresco-con- javamelody/ • AuditSurf
- 25. Monitorización y Auditoría • Auditoría de logins fallidos: audit.enabled=true audit.tagging.enabled=true ! audit.alfresco-access.enabled=true! audit.alfresco-access.sub-events.enabled=true ! audit.cmischangelog.enabled=true Saber que se está auditando: $ curl -u admin:admin http://localhost:8080/alfresco/service/api/audit/control Renombrar: tomcat/shared/classes/alfresco/extension/audit/ alfresco-audit-example-login.xml.sample $ curl -u admin:admin "http://localhost:8080/alfresco/service/api/audit/ query/AuditExampleLogin1/auditexamplelogin1/login/error/user?verbose=true" ! {! "count":5,! "entries": ! [ { "id":7,! "application":"AuditExampleLogin1",! "user":null,! "time":"2012-03-05T19:20:48.994+01:00",! "values":! { "/auditexamplelogin1/login/error/user":"toni"! } } !
- 26. Otras tareas relacionadas con la seguridad
- 27. Otras tareas o herramientas relacionadas • Evitar fugas de información mediante metadatos. • Considera usar el nuevo tipo “d:encrypted” • Añadir checksum a los contenidos • Bloqueo de usuario tras fallos de autenticación • Cambiar la ruta de visibilidad de webdav • Timeout de sesión de Explorer y Webdav • Timeout de sesión en Share • Timeout de sesión en CIFS • Poner CIFS y FTP en solo lectura. • Más herramientas en “Alfresco Security Toolkit” en Google Code. • Considerar usar un escaner de red para evitar almacenamiento de virus y troyanos. • Mod_security para limitar el tamaño de ficheros a subir o interceptar contenidos. • Filtra qué aplicaciones acceden a los servicios/API remotos
- 28. Conclusiones
- 29. Conclusiones • Actualmente disponemos de herramientas para hacer de nuestra plataforma un sistema seguro. • No debemos tomar estos consejos como una tarea aislada. • Recuerda que la seguridad es un proceso continuo. • Temas a tratar en futuros webinars: o Seguridad y desarrollo. o Auditoría. o Usuarios, roles y permisos. o Acegi. o Creación de subsistemas de Autenticación (webinar realizado) o SSO con CAS, Siteminder, OpenSSO, JoSSO, ForgeRock, Oracle Identity Manager, etc. o Integración con PKI, firma digital, portafirmas, cifrado, etc. • ¿Alguna idea?
- 30. ¿Preguntas? Toni de la Fuente toni.delafuente@alfresco.com Foro en español: http://forums.alfresco.com/es
- 31. Contacta con el equipo de Alfresco en España http://www.alfresco.com/es/about/contact/ toni.delafuente@alfresco.com http://blyx.com Twitter: @ToniBlyx
- 32. The open platform for social content management.