Escolar Documentos
Profissional Documentos
Cultura Documentos
Contenidos
Introduccin
Introduccin
Si la cada de Alfresco te supone un problema econmico para tu organizacin, la seguridad del mismo es importante. La seguridad es un proceso no un producto. Continuidad de las operaciones, proteccin, integridad, privacidad. Llevar al mximo el MTBF, garantizar el mnimo MTTR posible, contemplados en el Plan de Seguridad de la organizacin, Plan de contingencias y Plan de recuperacin de desastres.
Necesidades del proyecto Interfaces Usuarios, aplicaciones o ambos Personalizacin Arquitectura, alta disponibilidad y escalabilidad
Document Management Collaboration Web Content Management Records Management Email Archive
Interfaces?
Nmero de?
Personalizacin?
DataBase
Content Store
Index
Instalacin
Evitar contraseas por defecto (admin, db). Cambiar certificados y claves por defecto de SOLR.
o o
Permisos de los ficheros de configuracin, contentstore, ndices y logs. Nadie salvo el usuario de la aplicacin debe poder acceder.
o o
Antes de realizar la instalacin usa Alfresco Environment Validation Tool para evitar servicios y/o puertos conflictivos. Activa SSL siempre que sea posible:
o o
No uses certificados autofirmados para produccin. Comprueba la fortaleza del certificado en: https://www.ssllabs.com/ssldb/analyze.html
Usa Apache (u otro) para proteger el servidor de aplicaciones y los servicios. En Linux puedes usar SELinux Cuando sea posible, usar el bundle para tener los binarios externos controlados y evitar una posible suplantacin.
* Habra que permitir el trfico a XAM y a servicios remotos deFacebook,Twitter,LinkedIn,Slideshare,Youtube,FlickroBlogs, en caso de usar elPublishing Framework.
Control y revisin
Controla los procesos y los puertos que usa el sistema (Linux):
# netstat -tulpn|grep -i java! ! tcp 0 0 0.0.0.0:50500 tcp 0 0 127.0.0.1:8005 tcp 0 0 0.0.0.0:8009 tcp 0 0 0.0.0.0:139 tcp 0 0 0.0.0.0:8080 tcp 0 0 0.0.0.0:21 tcp 0 0 0.0.0.0:8443 tcp 0 0 0.0.0.0:445 tcp 0 0 0.0.0.0:7070 udp 0 0 0.0.0.0:137
0.0.0.0:* 0.0.0.0:* 0.0.0.0:* 0.0.0.0:* 0.0.0.0:* 0.0.0.0:* 0.0.0.0:* 0.0.0.0:* 0.0.0.0:* 0.0.0.0:*
8591/java 8591/java 8591/java 8591/java 8591/java 8591/java 8591/java 8591/java 8591/java 8591/java
Appliance con soporte SSL offloading Activar HTTPS en el frontal Apache Activar HTTPS en Servidor de Aplicaciones Ver documentacin oficial As evitars problemas de los usuarios (MS Office) Ver documentacin oficial
FTP FTPS SharePoint (jetty) SSL SMTP SMTPS: tanto IN como OUT IMAP y JGroups (workarounds)
http://blyx.com/2011/12/20/persistencia-en-lascredenciales-jmx-de-alfresco/
http://blyx.com/2011/06/02/consejos-sobre-los-logs-enalfresco/
Cifra la comunicacin entre Alfresco y el LDAP/AD o Sistema de SSO (usa el puerto 636 TCP para LDAPS)
o o
Backup Lucene 2 AM installRoot/alf_data/backup-lucene-indexes Backup SOLR 2AM Alfresco core y 4AM Archive core. installRoot/workspace-SpacesStore installRoot/archive-SpacesStore Backup SQL. Backup contentStore.
Considera el uso de snapshots de LVM Recuerda que se pueden hacer backup de sitios con:
o
http://code.google.com/p/share-import-export/
Prueba la recuperacin como medida preventiva de forma asidua y planificada. Incorpora el procedimiento comprobado de recuperacin de Alfresco a tu plan de contingencia. Contempla usar Replication Service en el plan de recuperacin de desastres.
Mantenimiento
Mantenimiento
Revisin diaria de los log y registro de auditora. Revisin diaria del backup. Borrado de los ficheros hurfanos, rotacin de los logs, limpiado de temporales.
o
Monitorizacin y Auditora
Monitorizacin y Auditora
JMX
o o o
Hyperic Nagios/Icinga
o
Javamelody
o
AuditSurf
Monitorizacin y Auditora
Auditora de logins fallidos:
audit.enabled=true audit.tagging.enabled=true ! audit.alfresco-access.enabled=true! audit.alfresco-access.sub-events.enabled=true ! audit.cmischangelog.enabled=true
Evitar fugas de informacin mediante metadatos. Considera usar el nuevo tipo d:encrypted Aadir checksum a los contenidos Bloqueo de usuario tras fallos de autenticacin Cambiar la ruta de visibilidad de webdav Timeout de sesin de Explorer y Webdav Timeout de sesin en Share Timeout de sesin en CIFS Poner CIFS y FTP en solo lectura. Ms herramientas en Alfresco Security Toolkit en Google Code. Considerar usar un escaner de red para evitar almacenamiento de virus y troyanos. Mod_security para limitar el tamao de ficheros a subir o interceptar contenidos. Filtra qu aplicaciones acceden a los servicios/API remotos
Conclusiones
Conclusiones
Actualmente disponemos de herramientas para hacer de nuestra plataforma un sistema seguro. No debemos tomar estos consejos como una tarea aislada. Recuerda que la seguridad es un proceso continuo. Temas a tratar en futuros webinars:
o o o o o o o
Seguridad y desarrollo. Auditora. Usuarios, roles y permisos. Acegi. Creacin de subsistemas de Autenticacin (webinar realizado) SSO con CAS, Siteminder, OpenSSO, JoSSO, ForgeRock, Oracle Identity Manager, etc. Integracin con PKI, firma digital, portafirmas, cifrado, etc.
Alguna idea?
Preguntas?