Portal for ArcGIS يتضمن Python أداة برنامج نصيportalScan.py تقوم بالبحث عن مشكلات الأمان الشائعة. تتحقق الأداة من المشاكل استنادً إلى بعض أفضل الممارسات الخاصة بتكوين بيئة آمنة للبوابة الإلكترونية. تحلل الأداة العديد من المعايير أو خصائص التكوين وتقسمها إلى ثلاثة مستويات من حيث الأهمية: حرجة ومهمة وموصى بها. تكون مواصفات هذه المعايير على النحو التالي:
المُعرّف | الخطورة | الخاصية | الوصف |
---|---|---|---|
PS01 | هام | قيود الوكيل | وتحدد ما إذا كانت إمكانات وكيل البوابة الإلكترونية مُقيدة. افتراضيًا، يتم فتح خادم وكيل البوابة الإلكترونية على أي عنوان URL. للتقليل ضد قطع الخدمة (DoS) المحتمل أو هجوم تزييف طلب جانب الخادم (SSRF)، يُوصَى بتقييد إمكانات وكيل البوابة الإلكترونية لتوفير عناوين الويب. |
PS02 | هام | طلبات الرمز المميز | تحدد ما إذا كانت طلبات إنشاء الرمز المميز مع بيانات الاعتماد في معلمات الاستعلام يتم دعمها أم لا. إذا تم الدعم، عند إنشاء رموز مميزة، يمكن توفير بيانات اعتماد المستخدم كجزء من عنوان URL وقد يتم عرضها من خلال تاريخ المستعرض أو في سجلات الشبكة. يوصى بتعطيل هذا إلا إذا طلبت ذلك تطبيقات أخرى. |
PS03 | هام | دليل خدمات البوابة الإلكترونية | تحدد ما إذا كان من الممكن الوصول إلى دليل خدمات البوابة الإلكترونية من خلال مستعرض الويب أم لا. ينبغي أن يتم تعطيل هذا لتقليل فرص استعراض عناصر البوابة والخدمات وخرائط الويب والمجموعات والموارد الأخرى والعثور عليها في بحث الويب أو الاستعلام عنها في نماذج HTML. |
PS04 | هام | اتصال آمن | تحدد ما إذا كانت البوابة الإلكترونية تقوم بالاتصال من خلال HTTPS فقط أم لا. لمنع تشفير أي اتصال في البوابة الإلكترونية، يُوصى بتكوين البوابة وخادم الويب الذي يستضيف محول الويب لفرض SSL. |
PS05 | مُوصى به | تسجيل حساب مضمن | تحدد ما إذا كان من الممكن للمستخدمين النقر على زر إنشاء حساب على صفحة تسجيل الدخول على البوابة الإلكترونية لإنشاء حساب داخلي للبوابة الإلكترونية أم لا. عند استخدام حسابات خاصة بالمؤسسة أو الرغبة في إنشاء جميع الحسابات يدويًا، قم بتعطيل هذا الخيار. |
PS06 | مُوصى به | دخول مجهول | تحدد ما إذا كان يتم السماح لأي من عمليات الدخول المجهولة أم لا. لمنع أي مستخدم من الدخول إلى المحتوى بدون تزويد البوابة بالاعتمادات، يُوصى بتكوين البوابة لتعطيل الوصول المجهول. |
PS07 | مُوصى به | مخزن هوية LDAP | إذا تم تكوين البوابة بمخزن هوية LDAP، فإن هذا يحدد ما إذا كان يتم استخدام اتصال مشفر أم لا. يوصى باستخدام LDAPS في خصائص ldapURLForUsers وldapURLForRoles المدرجة في معلمات مخزن المستخدم وتكوين مخزن المجموعة. |
PS08 | مُوصى به | شهادة SSL للبوابة | تحدد ما إذا كان يتم استخدام شهادة موقعة ذاتيًا من قبل البوابة أم لا. للمساعدة في تقليل تحذيرات مستعرض الويب أو أي سلوك آخر غير متوقع من العملاء الذين يتصلون بالبوابة، يوصى باستيراد شهادة SSL الموقعة من CA المرتبطة بالمنفذ 7443 واستخدامها. |
PS09 | مُوصى به | طلبات المجال العكسي | تحدد ما إذا كانت الطلبات عبر المجال (CORS) غير مقيدة أم لا. لتقليل إمكانية وصول تطبيق غير معروف إلى عنصر مدخل مشترك، يُوصى بتقييد الطلبات عبر النطاقات إلى التطبيقات المستضافة في نطاقات موثوقة فقط. |
PS10 | هام | عنوان URL للخادم الإداري المتكامل | تحدد ما إذا كان عنوان URL لمسؤول الخادم المتحد لديك قابلاً للوصول عن طريق البوابة أم لا وما إذا كانت شهادة SSL المستخدمة في عنوان URL هذا موثوقًا بها أم لا. إذا لم يكن موثوقًا أو غير قابل للوصول، فسوف تفشل العديد من وظائف البوابة وعملياتها. |
PS11 | مُوصى به | عنوان URL للخادم المتحد | تحدد ما إذا كان عنوان URL لخدمات الخادم المتحد لديك قابلاً للوصول عن طريق البوابة أم لا وما إذا كانت شهادة SSL المستخدمة في عنوان URL هذا موثوقًا بها أم لا. إذا كان غير موثوق به أو غير قابل للوصول، فستظل البوابة تعمل ولكن قد تفشل بعض عملياتها. |
PS12 | مُوصى به | المحتوى العام | إذا تم تكوين البوابة بحيث لا يمكن للأعضاء مشاركة المحتوى بشكل عام، فسوف يسرد هذا العناصر التي لا تزال مشتركة مع الجميع. |
PS13 | هام | إعدادات تكوين SAML | إذا تم تكوين البوابة الإلكترونية لاستخدام مصادقة SAML، فإن هذا يحدد ما إذا كان تم تمكين التأكيدات المشفرة والطلبات الموقعة أم لا. في حالة الدعم من موفر الهوية، يوصى بتكوين البوابة الإلكترونية لطلب التأكيدات المشفرة والطلبات الموقعة. |
PS14 | هام | حالة خدمة الطباعة الافتراضية | عادةً ما يتم استبدال خدمة الطباعة المكونة افتراضيًا على البوابة الإلكترونية بمجرد توحيد ArcGIS Server. من المستحسن تعطيل خدمة الطباعة الافتراضية إذا لم تكن مستخدمة. |
PS15 | مُوصى به | حالة خدمة مفتاح الخريطة | تُستخدم خدمة مفتاح الخريطة من قبل البوابة الإلكترونية لاسترداد رموز مفتاح الخريطة من الخريطة القديمة وخدمات المعالم (عبر SOAP). مالم يتم الوصول إلى خدمات قديمة لا تدعم استرداد مفتاح الخريطة عبر REST، من المستحسن تعطيل هذه الخدمة. |
PS16 | مُوصى به | حالة خدمة RSS | تُستخدم خدمة RSS من قبل البوابة الإلكترونية للتواصل مع موجزات GeoRSS. إذا لم يتم الوصول إلى أي موجزات GeoRSS من خلال أي خرائط ويب على البوابة الإلكترونية، فيفضل تعطيل هذه الخدمة. |
PS17 | مُوصى به | حالة خدمة KML | تُستخدم خدمة KML من قبل البوابة الإلكترونية للتواصل مع نقاط نهاية KML. إذا لم يتم الوصول إلى أي نقاط نهاية KML من خلال أي خرائط ويب على البوابة الإلكترونية، فيفضل تعطيل هذه الخدمة. |
البرنامج النصي portalScan.py موجود في دليل <Portal for ArcGIS installation location>/tools/security. قم بتشغيل البرنامج النصي من shell باستخدام البرنامج النصي portalScan Bash الموجود في نفس الدليل. لديك خيار تحديد معلمة واحدة أو أكثر عند تشغيل البرنامج النصي.
معلمات portalScan.py
يصف الجدول التالي معلمات portalScan.py:
المعلمة | الوصف |
---|---|
-n | اسم النطاق المؤهل بالكامل الخاص بالجهاز المثبت عليه Portal for ArcGIS (بمعنى آخر، gisportal.domain.com). الاسم الافتراضي هو اسم المضيف للجهاز الذي يعمل عليه البرنامج النصي. |
-u | اسم مستخدم حساب مسئول. |
-p | كلمة مرور حساب مسئول. |
-o | سيتم حفظ دليل تقرير مسح الأمان. الدليل الافتراضي هو نفس المجلد الذي يعمل عليه البرنامج النصي. |
-t | يمكن إنشاء رمز مميز واستخدامه في موضع اسم المستخدم وكلمة المرور. عند إنشاء رمز مميز، يجب أن يكون portalScan هو الإدخال في حقل Webapp URL. عند توفير رمز مميز، فإنه يتجاوز أي اسم مستخدم أو كلمة مرور متوفرين. |
--ignoressl | تعطيل التحقق من شهادة SSL. بدءًا من 10.7.1، سيحاول البرنامج النصي التحقق من جميع شهادات طبقة المقابس الآمنة بشكل افتراضي. إذا لم تثق Python بمصدر الشهادات، فسيفشل البرنامج النصي في الإكمال. إذا لزم الأمر، يمكن تحديد هذه المعلمة لتجاهل جميع الشهادات. |
-h أو -? | إنتاج قائمة معلمات يمكن تحديدها عند تشغيل البرنامج النصي. |
مثال (مع استبدال الملف الناتج إلى الدليل الرئيسي للمستخدم):./portalScan -n portal.domain.com -u admin -p my.password -o ~
إذا تم تشغيل البرنامج النصي portalScan دون تحديد معلمات، فسيُطلَب منك إدخالها يدويًا أو تحديد القيمة الافتراضية. إذا أردت استخدام رمز مميز، فيجب توفيره كمعلم عند تشغيل البرنامج النصي.
يعمل المسح الضوئي على إنشاء تقرير في تنسيق HTML الذي يُدرج أي من المشاكل المذكورة أعلاه التي تم العثور عليها في البوابة الإلكترونية المحددة.
بشكل افتراضي، يتم حفظ التقرير في نفس المجلد الذي تقوم فيه بتشغيل البرنامج النصي ويتم تسميته portalScanReport_[hostname]_[date].html.