Portal for ArcGIS поставляется со скриптом Python, portalScan.py, который проверяет наличие часто встречающихся проблем в системе безопасности. Инструмент проверяет наличие проблем на основе оптимальных методов настройки безопасной среды для портала. Он анализирует шесть критериев или параметров настройки и разделяет их на три уровня безопасности: Critical, Important и Recommended. Ниже приведено описание этих критериев:
Идентификатор | Степень серьезности | Владение | Описание |
---|---|---|---|
PS01 | Critical | Ограничение прокси | Определяет, ограничена ли прокси-функция портала. По умолчанию прокси-сервер портала открыт для любого URL. Чтобы снизить вероятность Denial of Service (DoS) или Server Side Request Forgery (SSRF) атак, настоятельно рекомендуется ограничить прокси-функцию портала списком доверенных веб-адресов. |
PS02 | Critical | Запросы токенов | Определяет, поддерживаются ли запросы токенов с учетными данными в параметре запроса. Если поддерживается, при генерации токена в части URL-адреса предоставляются учетные данных пользователя, которые могут оказаться доступными в истории посещений браузера или в сетевых журналах. Это функцию следует отключить, если только она не требуется другими приложениями. |
PS03 | Important | Директория сервисов портала | Определяет, доступна ли директория сервисов портала через веб-браузер. Эта возможность должна быть отключена, чтобы снизить возможности поиска элементов вашего портала, веб-карт, групп и других ресурсов в Интернет и осуществления запроса к ним через формы HTML. |
PS04 | Important | Безопасный обмен информацией | Определяет, используется ли доступ к порталу только через HTTPS. Для предотвращения перехвата сообщений внутри портала рекомендуется настроить портал и веб-сервер, на котором размещен Web Adaptor, на обязательное использование SSL. |
PS05 | Recommended | Вход с помощью встроенной учетной записи | Определяет, можно ли использовать кнопку Создать учетную запись, расположенную на странице авторизации, чтобы создать встроенную учетную запись портала. Если вы используете корпоративные учетные записи или хотите создавать учетные записи вручную, отключите эту опцию. |
PS06 | Recommended | Анонимный доступ | Определяет, допускается ли анонимный доступ. Чтобы предотвратить доступ к ресурсам для любого пользователя без предварительного ввода учетных данных на портале, рекомендуется настроить портал таким образом, чтобы отключить возможность анонимного доступа. |
Скрипт portalScan.py находится в папке <Portal for ArcGIS installation location>\tools\security. Запустите скрипт в командной строке или в командой оболочке. У вас есть возможность задать один или несколько параметров при запуске скрипта.
параметры portalScan.py
Параметр | Описание |
---|---|
-n | Полное доменное имя компьютера, на котором установлен портал (например, gisportal.domain.com). По умолчанию это имя хоста компьютера, на котором запускается скрипт. |
-u | Имя пользователя учетной записи администратора. |
-p | Пароль учетной записи администратора. |
-o | Директория, где будет сохранен отчет проверки безопасности. По умолчанию это та же директория, где запускается скрипт. |
-t | Вместо имени пользователя и пароля можно создать токен. При генерации токена, полное доменное имя сканируемого портала необходимо ввести в поле URL-адрес веб-приложения. При задании токена, он получает приоритет над указанными именем пользователя и паролем. |
-h или -? | Вывод списка параметров, которые можно задать при запуске скрипта. |
Пример: python portalScan.py -n portal.domain.com -u admin -p my.password -o C:\Temp
Если скрипт portalScan.py запускается без параметров, вам будет предложено ввести их вручную или выбрать значения по умолчанию. Если вы хотите использовать токен, его необходимо задать в качестве параметра при запуске скрипта.
При сканировании создается отчет в формате HTML, где перечислены все вышеуказанные проблемы, найденные на заданном портале.
По умолчанию, отчет сохраняется в той же папке, где находится скрипт, и называется portalScanReport_[hostname]_[date].html.