3.3 Etapes de post-installation

Une fois LiveCycle installé, il est important d’assurer une maintenance régulière de l’environnement pour en optimiser la sécurité.

La section suivante décrit en détail les différentes tâches recommandées pour sécuriser le serveur LiveCycle déployé.

    3.3.1 Sécurité de LiveCycle

    Les paramètres recommandés suivants s’appliquent au serveur LiveCycle hors de l’application Web administrative. Pour réduire les risques de sécurité du serveur, appliquez ces paramètres immédiatement après avoir installé LiveCycle.

    Correctifs de sécurité

    Le risque de voir un utilisateur non autorisé accéder au serveur d’applications sera d’autant plus important que les correctifs de sécurité et les mises à niveau du revendeur n’auront pas été appliqués en temps utile. Testez les correctifs de sécurité avant de les appliquer aux serveurs de production pour vous assurer de la compatibilité et de la disponibilité des applications LiveCycle  De même, créez des règles et des procédures pour contrôler et installer régulièrement les correctifs. Les mises à jour LiveCycle sont sont disponibles sur le site de téléchargement des produits Enterprise.

    Comptes de service (JBoss clé en main sur Windows uniquement)

    LiveCycle installe un service par défaut en utilisant le compte système local. Le compte utilisateur système local intégré présente un haut niveau d’accessibilité ; il fait partie du groupe Administrateurs. Si une identité de processus de travail est exécutée en tant que compte utilisateur système local, ce processus de travail dispose d’un accès complet à l’ensemble du système.

    Pour exécuter le serveur d’applications sur lequel est déployé LiveCycle, appliquez les instructions suivantes en utilisant un compte non administratif spécifique :

    1. Dans Microsoft Management Console (MMC), créez un utilisateur local pour que le service LiveCycle se connecte en tant que cet utilisateur local :

      • Sélectionnez L’utilisateur ne peut pas changer de mot de passe.

      • Vérifiez que le groupe Utilisateurs figure dans l’onglet Membre de.

      Remarque : vous ne pouvez pas modifier ce paramètre pour PDF Generator.

    2. Sélectionnez Démarrer > Paramètres > Outils d’administration > Services.

    3. Cliquez deux fois sur le JBoss pour Adobe LiveCycle 10 et arrêtez-le.

    4. Sur l’onglet Ouvrir une session, sélectionnez Ce compte, recherchez le compte utilisateur que vous avez créé, puis entrez le mot de passe pour ce compte.

    5. Dans MMC, ouvrez Paramètres de sécurité locaux et sélectionnez Stratégies locales > Attribution de droits utilisateur.

    6. Attribuez les droits suivants au compte utilisateur sous lequel le serveur LiveCycle est exécuté :

      • Interdire l’ouverture de session par les services Terminal

      • Interdire l’ouverture d’une session locale

      • Ouvrir une session en tant que service (ce droit doit être déjà défini)

    7. Attribuez au nouveau compte utilisateur les autorisations de lecture et d’exécution, d’affichage du contenu des dossiers et de lecture pour les répertoires de contenu Web LiveCycle 

    8. Démarrez le serveur d’applications.

    Désactivation de la servlet d’amorçage de Configuration Manager

    Configuration Manager a utilisé une servlet déployée sur votre serveur d’applications pour amorcer la base de données LiveCycle. Configuration Manager accédant à cette servlet avant la fin de la configuration, son accès n’a pas été sécurisé pour les utilisateurs autorisés et il convient de le désactiver après avoir utilisé Configuration Manager pour configurer LiveCycle.

    1. Décompressez le fichier adobe-livecycle-[serveur d’applications].ear.

    2. Ouvrez le fichier META-INF/application.xml.

    3. Recherchez la section adobe-bootstrapper.war :

      <!-- bootstrapper start --> 
<module id="WebApp_adobe_bootstrapper"> 
    <web> 
        <web-uri>adobe-bootstrapper.war</web-uri> 
        <context-root>/adobe-bootstrapper</context-root> 
    </web> 
</module> 
<module id="WebApp_adobe_lcm_bootstrapper_redirector"> 
    <web> 
        <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri> 
        <context-root>/adobe-lcm-bootstrapper</context-root> 
    </web> 
</module> 
<!-- bootstrapper end-->

    4. Placez en commentaire les modules adobe-bootstrapper.war et adobe-lcm-bootstrapper-redirectory. war, comme suit :

      <!-- bootstrapper start --> 
<!-- 
<module id="WebApp_adobe_bootstrapper"> 
    <web> 
        <web-uri>adobe-bootstrapper.war</web-uri> 
        <context-root>/adobe-bootstrapper</context-root> 
    </web> 
</module> 
<module id="WebApp_adobe_lcm_bootstrapper_redirector"> 
    <web> 
        <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri> 
        <context-root>/adobe-lcm-bootstrapper</context-root> 
    </web> 
</module> 
--> 
<!-- bootstrapper end-->

    5. Enregistrez et fermez le fichier META-INF/application.xml.

    6. Compressez le fichier EAR et redéployez-le sur le serveur d’applications.

    7. Entrez l’URL dans un navigateur pour tester la modification et garantir que l’adresse ne fonctionne plus.

    Verrouillage de l’accès distant à Trust Store

    Configuration Manager vous permet de télécharger des informations d’identification Reader Extensions 10 dans le Trust Store LiveCycle. Ceci signifie que l’accès au service d’informations d’identification Trust Store sur les protocoles distants (SOAP et EJB) a été activé par défaut. Cet accès n’est plus nécessaire après avoir téléchargé les informations d’identification des droits en utilisant Configuration Manager, ou si vous décidez d’utiliser Configuration Manager ultérieurement pour gérer les informations d’identification.

    Vous pouvez désactiver l’accès distant à tous les services Trust Store en procédant comme indiqué dans la section 4.1 Désactivation des accès distants non indispensables à des services.

    Désactivation de tous les accès anonymes non indispensables

    Certains services LiveCycle comportent des opérations qu’un appelant anonyme peut appeler. Si l’accès anonyme à ces services n’est pas obligatoire, désactivez-le en suivant les étapes de 4.2 Désactivation des accès anonymes non indispensables à des services.

    3.3.1.1 Modification du mot de passe par défaut du compte administrateur

    Lorsque LiveCycle est installé, un compte utilisateur par défaut unique est configuré pour l’utilisateur Super administrateur/Administrateur à ID de connexion avec un mot de passe par défaut, password. Modifiez immédiatement ce mot de passe à l’aide de Configuration Manager.

    1. Saisissez l’URL suivante dans un navigateur Web :

      http://[host name]:[port]/adminui

      Le numéro de port par défaut est l’un des numéros suivants :

      JBoss : 8080

      WebLogic Server : 7001

      WebSphere : 9080.

    2. Dans le champ Nom d’utilisateur, saisissez administrator et dans le champ Mot de passe, saisissez password.

    3. Cliquez sur Paramètres > User Management > Utilisateurs et groupes.

    4. Saisissez administrator dans le champ Rechercher, puis cliquez sur Rechercher.

    5. Cliquez sur Super Administrateur dans la liste des utilisateurs.

    6. Cliquez sur Changer de mot de passe dans la page Modifier l’utilisateur.

    7. Indiquez le nouveau mot de passe et cliquez sur Enregistrer.

    En outre, il est recommandé de modifier le mot de passe par défaut de l’administrateur CRX en procédant comme suit :

    1. Connectez-vous au site http://[nom d’hôte]:[port]/lc/libs/granite/security/content/admin.html en utilisant les nom d’utilisateur et mot de passe par défaut.

    2. Saisissez Administrator dans le champ de recherche, puis cliquez sur Aller.

    3. Sélectionnez Administrator dans les résultats de la recherche, puis cliquez sur l’icône Modifier située dans le coin inférieur droit de l’interface utilisateur.

    4. Indiquez le nouveau mot de passe dans le champ Nouveau mot de passe et l’ancien mot de passe dans le champ Votre mot de passe.

    5. Cliquez sur l’icône Enregistrer située dans le coin inférieur droit de l’interface utilisateur.

    3.3.1.2 Désactivation de la génération WSDL

    La génération Web Service Definition Language (WSDL) doit être activée uniquement pour les environnements de développement dans lesquels les développeurs font appel à la génération WSDL pour créer leurs applications clientes. Vous pouvez choisir de désactiver la génération WSDL dans un environnement de production pour éviter d’exposer les détails internes d’un service.

    1. Saisissez l’URL suivante dans un navigateur Web :

      http://[host name]:[port]/adminui

    2. Cliquez sur Paramètres > Paramètres de Core System > Configurations de base.

    3. Désélectionnez la case à cocher Activer WSDL et cliquez sur OK.

    3.3.1.3 Restriction des quotas d’intégration de données de l’utilisateur dans LiveCycle Content Services (obsolète)

    Remarque : Adobe procède actuellement à la migration des clients Adobe® LiveCycle® Content Services ES vers le référentiel de contenu Content Repository basé sur l’architecture modulaire CRX moderne, acquise par Adobe lors de son rachat de la société Day Software. Content Repository est fourni avec LiveCycle Foundation et il est disponible à compter de la version LiveCycle ES4.

    Par défaut, Content Services ne restreint pas le nombre de données qu’un utilisateur peut intégrer dans un serveur à tout moment. Un grand volume de données peut représenter une menace pour le système, car ce dernier ne dispose plus de ressources suffisantes pour exécuter les autres opérations. Cette situation peut causer un déni de service pour d’autres processus entrants. Utilisez les arguments JVM pour activer la gestion des quotas dans Content Services.

    Important : les arguments JVM doivent être validés avant la synchronisation des utilisateurs. Il n’est pas possible de modifier ce quota d’utilisateurs après que les utilisateurs ont été synchronisés.

    3.3.1.3.1 Activation de la gestion des quotas dans Content Services

    Sur JBoss

    1. Accédez au répertoire [racine jboss]/bin et ouvrez le fichier de script de démarrage dans un éditeur de texte :

      • (Windows) run.bat

      • (Linux et UNIX) run.sh

    2. Ajoutez les propriétés suivantes sous l’argument Set JAVA_OPTS :

      -Dsystem.usages.enableQuotaSize=true -Dsystem.usages.quota=[taille en Ko]

    3. Enregistrez le fichier, puis fermez-le.

    4. Redémarrez le serveur JBoss avant de synchroniser les utilisateurs.

    Sur WebLogic

    1. Accédez à WebLogic Server Administration Console, entrez http://[host name]:[port]/console dans la ligne d’adresse d’un navigateur Web, où [port] correspond au port d’écoute non sécurisé. Par défaut, la valeur de ce port est 7001.

    2. Dans l’écran de connexion, saisissez le nom d’utilisateur et le mot de passe WebLogic, puis cliquez sur Log In.

    3. Sous Change Center, cliquez sur Lock & Edit.

    4. Sous Domain Structure, cliquez sur Environment > Servers et, dans le volet de droite, cliquez sur le nom du serveur géré.

    5. Dans le volet Settings for Server, cliquez sur les ongletsConfiguration > Server Start.

    6. Dans la zone Arguments, ajoutez les arguments suivants en les séparant par un espace :

      -Dsystem.usages.enableQuotaSize=true 
-Dsystem.usages.quota=[size in KB]

    7. Cliquez sur Save, puis sur Activate Changes.

    8. Redémarrez le serveur WebLogic avant de synchroniser les utilisateurs.

    Sur WebSphere

    1. Dans l’arborescence de navigation de WebSphere Administrative Console, effectuez la procédure suivante pour le serveur d’applications :

      (WebSphere 6.x) Cliquez sur Servers > Application servers

      (WebSphere 7.x) Cliquez sur Servers > ServerTypes > WebSphere application servers.

    2. Cliquez sur le nom du serveur dans le volet de droite.

    3. Sous Server Infrastructure, cliquez sur Java and Process Management > Process Definition.

    4. Sous Additional Properties, cliquez sur Java Virtual Machine.

    5. Dans la zone Generic JVM arguments, ajoutez -Dsystem.usages.enableQuotaSize=true et -Dsystem.usages.quota=<taille en Ko>, séparés par des virgules, aux propriétés existantes.

    6. Cliquez sur OK ou sur Apply, puis sur Save directly to master configuration.

    7. Redémarrez le serveur WebSphere avant de synchroniser les utilisateurs.

    3.3.2 Sécurité du serveur d’applications

    Le tableau suivant décrit certaines techniques qui permettent de sécuriser votre serveur d’applications une fois l’application LiveCycle installée.

    Problème

    Description

    Consoles d’administration de serveur d’applications

    Après avoir installé, configuré et déployé LiveCycle sur votre serveur d’applications, désactivez l’accès aux consoles d’administration de serveur d’applications. Pour plus de détails, reportez-vous à la documentation de votre serveur d’applications.

    Paramétrage des cookies pour le serveur d’applications

    Les cookies des applications sont contrôlés par le serveur d’applications. Lorsqu’il déploie l’application, l’administrateur du serveur d’applications peut spécifier des préférences concernant les cookies, soit à l’échelle du serveur, soit pour des applications spécifiques. Par défaut, les paramètres définis à l’échelle du serveur sont prioritaires.

    Tous les cookies de session générés par votre serveur d’applications devraient inclure l’attribut HttpOnly. Par exemple, si vous utilisez JBoss Application Server, vous pouvez redéfinir l’élément SessionCookie sur httpOnly="true" dans le fichier deploy/jbossweb.sar/context.xml.

    Vous pouvez limiter l’envoi de cookies au moyen de HTTPS uniquement. En conséquence, les cookies ne sont pas envoyés non codés sur HTTP. Il est conseillé aux administrateurs de serveurs d’applications d’autoriser les cookies sûrs à l’échelle du serveur. Par exemple, si vous utilisez JBoss Application Server, vous pouvez redéfinir l’élément connecteur sur secure=true dans le fichier server.xml.

    Reportez-vous à la documentation de votre serveur d’applications pour plus d’informations sur les paramètres des cookies.

    Exploration des répertoires

    Lorsqu’un utilisateur demande une page qui n’existe pas ou le nom d’un directeur (la chaîne de demande se termine par une barre oblique (/)), le serveur d’applications ne devrait pas renvoyer le contenu de ce répertoire. Pour éviter cela, vous pouvez désactiver la capacité d’exploration des répertoires sur votre serveur d’applications. Vous devriez effectuer cette action pour l’application Administration Console, mais également pour les autres applications exécutées sur votre serveur.

    Pour JBoss, définissez la valeur du paramètre d’initialisation des listes de la propriété DefaultServlet sur false dans le fichier web.xml, comme illustré dans l’exemple ci-dessous :

    <servlet>

    <servlet-name>default</servlet-name>

    <servlet-class>

    org.apache.catalina.servlets.DefaultServlet

    </servlet-class>

    <init-param>

    <param-name>listings</param-name>

    <param-value>false</param-value>

    </init-param>

    <load-on-startup>1</load-on-startup>

    </servlet>

    Pour WebSphere, définissez la propriété directoryBrowsingEnabled du fichier ibm-web-ext.xmi sur false.

    Pour WebLogic, définissez les propriétés index-directories du fichier weblogic.xml sur false, comme illustré dans l’exemple suivant :

    <container-descriptor>

    <index-directory-enabled>false

    </index-directory-enabled>

    </container-descriptor>

    3.3.3 Utilisation de la console JMX sur JBoss

    Lorsque la console JMX (Java Management Extensions) est installée avec JBoss, il est possible de construire des URL utilisées comme des exploitations de scripts intersites (XSS), capables de révéler des informations sensibles sur votre système.

    Si vous avez installé LiveCycle en appliquant la méthode clé en main et que vous utilisez la version de JBoss incluse avec cette installation clé en main, la console JMX JBoss est supprimée par défaut pour garantir que les risques de sécurité sont réduits au minimum. Toutefois, si vous avez besoin d’utiliser la console JMX JBoss, réinstallez-la en procédant comme suit.

    1. Téléchargez une copie de JBoss 4.2.0 (ou version ultérieure) sur JBoss.org.

    2. Arrêtez le serveur d’applications JBoss.

    3. Dans le fichier d’archive compressé que vous avez téléchargé, extrayez les fichiers depuis [racine JBoss]/deploy/jmx-console.war/.

    4. Placez les fichiers jmx-console.war/... dans le répertoire déploiement du répertoire d’installation de JBoss.

    5. Redémarrez JBoss.

    6. Accédez à l’URL suivante pour vous assurer que la console JMX JBoss est disponible :

      http://localhost:8080/jmx-console

    3.3.4 Sécurité de la base de données

    Lorsque vous sécurisez votre base de données, implémentez les mesures indiquées par le revendeur de votre base de données. Attribuez à l’utilisateur de la base de données le nombre minimum d’autorisations requises sur cette base de données pour permettre l’utilisation avec LiveCycle. Par exemple, n’utilisez pas de compte avec des autorisations d’administrateur de base de données.

    Sur Oracle, le compte de base de données que vous utilisez nécessite uniquement les droits CONNECT, RESOURCE et CREATE VIEW. Pour connaître les exigences des autres bases de données, voir Préparation à l’installation de LiveCycle sur un seul serveur.

    3.3.4.1 Configuration de la sécurité intégrée dans SQL Server sur Windows pour JBoss

    1. Modifiez [JBOSS_HOME]\server\all\deploy\adobe-ds.xml pour ajouter integratedSecurity=true à l’URL de connexion, comme illustré dans l’exemple suivant :

      jdbc:sqlserver://<serverhost>:<port>;databaseName=<dbname>;integratedSecurity=true

    2. Ajoutez le fichier sqljdbc_auth.dll au chemin d’accès du système Windows sur l’ordinateur exécutant le serveur d’applications. Le fichier sqljdbc_auth.dll se trouve avec l’installation du pilote Microsoft SQL JDBC 1.2 (par défaut [InstallDir]/sqljdbc_1.2/enu/auth/x86).

    3. Modifiez la propriété du service Windows JBoss (JBoss pour LiveCycle) pour Ouvrir une session en tant que dans le Système local pour un compte utilisateur disposant d’une base de données LiveCycle et d’un ensemble minimum de droits. Si vous exécutez JBoss à partir de la ligne de commande plutôt que comme un service Windows, ignorez cette étape.

    4. Faites passer la sécurité de SQL Server du mode Mixte au mode Authentification Windows.

    3.3.4.2 Configuration de la sécurité intégrée dans SQL Server sur Windows pour WebLogic

    1. Démarrez WebLogic Server Administration Console en saisissant l’URL suivante dans la ligne d’adresse d’un navigateur Web :

      http://[host name]:7001/console

    2. Sous Change Center, cliquez sur Lock & Edit.

    3. Sous Domain Structure, cliquez sur [domaine_base] Services JDBC Data Sources et, dans le volet de droite, cliquez sur IDP_DS.

    4. Dans l’écran suivant, dans l’onglet Configuration, cliquez sur l’onglet ConnectionPool et, dans la zone Properties, saisissez integratedSecurity=true.

    5. Sous Domain Structure, cliquez sur [domaine_base] > Service > JDBC > Data Sources et, dans le volet de droite, cliquez sur RM_DS.

    6. Dans l’écran suivant, dans l’onglet Configuration, cliquez sur l’onglet Connection Pool et, dans la zone Properties, saisissez integratedSecurity=true.

    7. Ajoutez le fichier sqljdbc_auth.dll au chemin d’accès du système Windows sur l’ordinateur exécutant le serveur d’applications. Le fichier sqljdbc_auth.dll se trouve avec l’installation du pilote Microsoft SQL JDBC 1.2 (par défaut [InstallDir]/sqljdbc_1.2/enu/auth/x86).

    8. Faites passer la sécurité de SQL Server du mode Mixte au mode Authentification Windows.

    3.3.4.3 Configuration de la sécurité intégrée dans SQL Server sur Windows pour WebSphere

    Sur WebSphere, vous pouvez configurer la sécurité intégrée uniquement lorsque vous utilisez un pilote JDBC SQL Server externe et non le pilote JDBC SQL Server incorporé avec WebSphere.

    1. Connectez-vous à WebSphere Administrative Console.

    2. Dans l’arborescence de navigation, cliquez sur Resources > JDBC > Data Sources, puis, dans le volet de droite, cliquez sur IDP_DS.

    3. Dans le volet de droite, sous Additional Properties, cliquez sur Custom Properties, puis sur New.

    4. Dans la zone Name, saisissez integratedSecurity et, dans la zone Value, saisissez true.

    5. Dans I’arborescence de navigation, cliquez sur Resources > JDBC > Data Sources, puis, dans le volet de droite, cliquez sur RM_DS.

    6. Dans le volet de droite, sous Additional Properties, cliquez sur Custom Properties, puis sur New.

    7. Dans la zone Name, saisissez integratedSecurity et, dans la zone Value, saisissez true.

    8. Sur l’ordinateur sur lequel WebSphere est installé, ajoutez le fichier sqljdbc_auth.dll au chemin du système Windows (C:\Windows). Ce fichier est situé au même emplacement que le programme d’installation du pilote Microsoft SQL JDBC 1.2 (le chemin par défaut est [Rep_install]/sqljdbc_1.2/enu/auth/x86).

    9. Sélectionnez Démarrer > Panneau de configuration > Services, cliquez avec le bouton droit de la souris sur le service Windows pour WebSphere (IBM WebSphere Application Server <version> - <nœud>), puis sélectionnez Propriétés.

    10. Dans la boîte de dialogue Propriétés, cliquez sur l’onglet Ouvrir une session.

    11. Sélectionnez Ce compte et indiquez les informations requises pour définir le compte de connexion à utiliser.

    12. Faites passer la sécurité de SQL Server du mode Mixte au mode Authentification Windows.

    3.3.5 Protection de l’accès aux contenus sensibles dans la base de données

    Le schéma de la base de données LiveCycle contient des informations sensibles relatives à la configuration du système et aux processus de l’entreprise et doit être protégé par un pare-feu. La base de données doit être considérée comme faisant partie de la même zone de confiance que le serveur LiveCycle  Pour éviter tout risque de divulgation d’informations et de vol de données d’entreprise, la base de données doit être configurée par l’administrateur de base de données (DBA) pour donner l’accès aux administrateurs autorisés uniquement.

    Pour une sécurité accrue, prévoyez d’utiliser des outils spécifiques au revendeur de votre base de données pour chiffrer les colonnes des tableaux contenant les données suivantes :

    • clés de document Rights Management ;

    • clé de chiffrement de PIN HSM Trust Store ;

    • hachages des mots de passe des utilisateurs locaux.

    Pour plus d’informations des outils spécifiques à des revendeurs, voir 2.1.3 Informations sur la sécurité des bases de données.

    3.3.6 Sécurité LDAP

    En règle générale, un répertoire LDAP (Lightweight Directory Access Protocol) est utilisé par LiveCycle comme une source d’informations relatives aux utilisateurs et aux groupes de l’entreprise et comme un moyen d’authentifier les mots de passe. Assurez-vous que votre répertoire LDAP est configuré pour utiliser le protocole SSL (Secure Socket Layer) et que LiveCycle est configuré pour accéder à votre répertoire LDAP en utilisant son port SSL.

    3.3.6.1 Déni de service LDAP

    Une attaque courante utilisant LDAP consiste, pour un attaquant, à omettre délibérément de s’authentifier à plusieurs reprises. Ceci oblige le serveur d’annuaires LDAP à interdire à un utilisateur l’accès à tous les services dépendant de LDAP.

    Vous pouvez définir le nombre de tentatives d’authentification maximum autorisé et la durée du verrouillage appliqué par LiveCycle lorsqu’un utilisateur échoue de manière répétée à s’authentifier auprès de. Dans Administration Console, choisissez les valeurs plus faibles. Lors de la sélection du nombre d’échecs d’authentification maximum autorisé, il est important de comprendre que si toutes les tentatives échouent, LiveCycle verrouille l’utilisateur avant que le serveur d’annuaire LDAP ne le fasse.

    3.3.6.2 Paramètres de verrouillage de compte automatique

    1. Connectez-vous à Administration Console.

    2. Cliquez sur Paramètres > User Management > Gestion des domaines.

    3. Sous Paramètres de verrouillage de compte automatique, définissez Echecs d’authentification consécutifs max. sur un nombre peu élevé, 3 par exemple.

    4. Cliquez sur Enregistrer.

    3.3.7 Contrôle et consignation

    L’utilisation appropriée et sécurisée des capacités de contrôle et de consignation des applications peut contribuer au suivi et à la détection rapides des événements liés à la sécurité et autres anomalies. L’utilisation efficace des capacités de contrôle et de consignation dans une application inclut des points comme le suivi des connexions réussies et échouées, de même que les événements clés de l’application comme la création ou la suppression d’enregistrements clés.

    Vous pouvez utiliser les capacités de contrôle pour détecter de nombreux types d’attaques, parmi lesquels :

    • les attaques de mot de passe en force ;

    • les attaques par déni de service ;

    • les attaques par injection de saisie hostile et les classes associées d’attaques de script.

    Ce tableau décrit les techniques de contrôle et de consignation que vous pouvez utiliser pour limiter les vulnérabilités du serveur.

    Problème

    Description

    Listes de contrôle d’accès de fichier journal

    Définissez les listes de contrôle d’accès (ACL) de fichier journal LiveCycle appropriées.

    Définir des informations d’identification appropriées contribue à empêcher les attaquants de supprimer les fichiers.

    Les autorisations de sécurité sur le répertoire des fichiers journaux doivent être de type « contrôle complet » pour les Administrateurs et les groupes SYSTEM. Seules les autorisations de lecture et d’écriture doivent être attribuées au compte utilisateur LiveCycle 

    Fichiers journaux redondants

    Si les ressources le permettent, envoyez en temps réel des journaux à un autre serveur inaccessible pour l’attaquant (en lecture seule) en utilisant Syslog, Tivoli, Microsoft Operations Manager (MOM) Server ou tout autre mécanisme équivalent.

    En protégeant les journaux de cette manière, vous réduisez le risque de falsification. Par ailleurs, le fait de stocker les journaux dans un référentiel central facilite les processus de corrélation et de surveillance (par exemple, si plusieurs serveurs LiveCycle sont en cours d’utilisation et qu’une attaque par recherche de mot de passe a lieu sur plusieurs ordinateurs, un mot de passe étant demandé à chaque ordinateur).

    3.3.8 Dépendances des bibliothèques du système LiveCycle Unix

    Les informations suivantes sont destinées à vous aider à planifier un déploiement de LiveCycle sur votre environnement UNIX.

    3.3.8.1 Service Convert PDF

    Le service Convert PDF fait partie de LiveCycle et requiert au minimum les bibliothèques système suivantes :

    Linux

    /lib/ 
    libdl.so.2 (0x00964000) 
    ld-linux.so.2 (0x007f6000) 
/lib/tls/ 
    libc.so.6 (0x00813000)     
    libm.so.6 (0x0093f000) 
    libpthread.so.0 (0x00a5d000) 
/usr/lib/libz.so.1 (0x0096a000) 
/gcc410/lib/ 
    libgcc_s.so.1 (0x00fc0000) 
    libstdc++.so.6 (0x00111000)

    Solaris

    /usr/platform/SUNW,Sun-Fire-V210/lib/libc_psr.so.1 
/usr/lib/ 
    libc.so.1 
    libdl.so.1 
    libintl.so.1 
    libm.so.1 
    libmp.so.2 
    libnsl.so.1 
    libpthread.so.1 
    libsocket.so.1 
    libstdc++.so.6  
    libthread.so.1

    AIX

    /usr/lib/ 
    libpthread.a(shr_comm.o) 
    libpthread.a(shr_xpg5.o) 
    libc.a(shr.o) 
    librtl.a(shr.o) 
    libpthreads.a(shr_comm.o) 
    libcrypt.a(shr.o) 
/aix5.2/lib/gcc/powerpc-ibm-aix5.2.0.0/4.1.0/libstdc++.a(libstdc++.so.6) 
/aix5.2/lib/gcc/powerpc-ibm-aix5.2.0.0/4.1.0/libgcc_s.a(shr.o)

    3.3.8.2 XMLForms

    XMLForms requiert au minimum les bibliothèques systèmes suivantes :

    Linux

    /lib/ 
    libdl.so.2 
    libpthread.so.0 
    libm.so.6 
    libgcc_s.so.1 
    libc.so.6 
    librt.so.1 
    ld-linux.so.2 
/usr/X11R6/lib/ 
    libX11.so.6

    Solaris

    /usr/lib/ 
    libdl.so.1 
    libpthread.so.1 
    libintl.so.1 
    libsocket.so.1 
    libnsl.so.1 
    libm.so.1 
    libc.so.1 
    librt.so.1 
    libX11.so.4 
    libmp.so.2 
    libmd5.so.1 
    libscf.so.1 
    libaio.so.1 
    libXext.so.0 
    libdoor.so.1 
    libuutil.so.1 
    libm.so.2 
usr/platform/SUNW,Sun-Fire-V210/lib/libc_psr.so.1 
usr/platform/SUNW,Sun-Fire-V210/lib/libmd5_psr.so.1

    AIX 6.1

    /usr/lib/ 
    libpthread.a(shr_comm.o) 
    libpthread.a(shr_xpg5.o) 
    libc.a(shr.o) 
    librtl.a(shr.o) 
    libdl.a(shr.o) 
    libX11.a(shr4.o) 
    libiconv.a(shr4.o) 
    libpthreads.a(shr_comm.o) 
/unix 
    /usr/lib/libcrypt.a(shr.o) 
    /usr/lib/libIM.a(shr.o) 
    /usr/lib/libpthreads.a(shr_xpg5.o)