Назад

Безопасность OpenEdge-приложений

СЕРВЕР

Как уже говорилось ранее, в клиент-серверной среде у пользователя вообще не должно быть никакого доступа к промышленному серверу базы данных, кроме как через предопределенные ABL-, SQL- и AppServer- порты. Локальные пользователи должны иметь доступ к серверу только через терминальную сессию. Если нет необходимости в иных настройках для достижения четкой цели, то всё остальное должно быть закрыто. К сожалению, это не всегда так. Введите на вашем UNIX- или Windows- сервере команду «netstat -a | grep LISTEN» и вы увидите всех «слушателей», которые ждут подключения извне.

Дополнительно: по умолчанию к большинству серверов обращаются через незашифрованные утилиты, такие как telnet и ftp. Поэтому достаточно просто выполнить прослушивание пакетов с открытым текстом и извлечь из них пользовательские имена и пароли.

Наконец, на некоторых серверах работают утилиты совместного использования файлов, например, «Samba». В то время как «Samba» может показаться простой в установке, настройке и выполнении, она по умолчанию довольно небезопасна. Простой пример: администраторы устанавливают «Samba» так, чтобы пользователи могли генерировать отчеты в текстовые файлы, а затем открывать их через обычный проводник Windows. Тем самым они  предоставляют всем пользователям доступ к их домашним каталогам в UNIX. Однако это также дает пользователю возможность изменить свой профайл (.profile), который задает сценарий входа в Unix. В результате пользователь может сам себе предоставить доступ к Unix-оболочке (shell access).

Если «Samba» не настроена должным образом, то это позволит хакеру скопировать в каталоги PROPATH (к ним у него обычно нет доступа), необходимые ему программы-шпионы. Возможно, что он также сможет физически обратиться к файлам базы данных.

Решения

  • Остановите все сетевые службы, в которых нет необходимости.
  • Замените все стандартные утилиты на их аналоги, позволяющие использовать шифрование.
  • С осторожностью используйте инструментальные средства для разделяемого доступа к файлам, такие как «Samba». Выполняйте их тщательную настройку и тестирование.

Метка:,

Башкатов Валерий Григорьевич

Инженер технической поддержки и консультант по технологиям Progress Software в компании Progress Technologies. Автор обучающих статей и учебных пособий по платформе OpenEdge.
Опыт работы с платформой OpenEdge c 2003 года.

Вам также может понравиться

standart
Руководство по стандартам программирования на PROGRESS ABL (4GL)
26.04.2022
high-availability-poll
Высокая доступность и отказоустойчивость для приложений OpenEdge
10.03.2022
whats_new_hero_banner
Причины перехода на OpenEdge 12
05.10.2021

Есть вопрос? Спросите...

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.