Всякий раз, когда создается объект MQ, создавшему его пользователю (или основной группе этого пользователя на платформах, отличных от Windows Distributed) предоставляются все права на объект. На практике это обычно означает, что группа mqm видна на каждом объекте, когда вы делаете дамп авторизации. В Windows это часто adminID@domain
в дополнение к mqm.
В Linux вы можете сделать...
echo "dis chl(*) mcauser | runmqsc [qmgrname]
...из командной строки, чтобы увидеть, что такое MCAUSER на каналах. Вы также можете увидеть это с помощью MQ Explorer.
Определенный MCAUSER для всех входящих каналов должен блокировать любой доступ. Раньше я рекомендовал nobody
, но поскольку это потенциально допустимый идентификатор в некоторых системах, теперь я рекомендую *nobody
. Обратите внимание, что под «входящими каналами» я подразумеваю каналы типа RCVR
, RQSTR
, CLUSRCVR
и SVRCONN
. Под «всеми» я подразумеваю каналы с именами SYSTEM.AUTO.*
, SYSTEM.DEF.*
и любые, которые вы определяете сами.
Убедитесь, что выход или правило CHLAUTH
сопоставляют MCAUSER с ожидаемым значением при проверке подлинности запроса на подключение. Правила CHLAUTH
доступны в любой версии MQ, начиная с 7.1 и выше. Это сопоставление гарантирует, что только аутентифицированный пользователь или партнер QMgr может подключиться.
Если авторизация (команды setmqaut
или SET AUTHREC
) определена без определения CHLAUTH
правил или настройки выхода безопасности, эффект безопасности будет хуже, а не лучше. Причина в том, что у законных пользователей кажется ограничение на подключение, но злоумышленники смогут легко подделать идентификатор пользователя-администратора.
См. основные слайды по усилению безопасности MQ на странице http://t-rob./net/links. больше на эту тему.
person
T.Rob
schedule
04.05.2015