ibm-mq - 我如何确定是否需要在 MQ 中保持命令服务器处于打开状态？

Question

我从 MQ 安全演示文稿中看到一项建议，如果您不需要命令服务器，它会关闭它。我的问题是如何确定我是否真的需要它。 从我的角度来看，如果没有运行目标 QMGR 的管理程序，例如 MQ Explorer 或其他向 QMGR 发送命令消息的程序，我们可以停止该命令服务器，对吧、

谢谢

Answer 1

WebSphere MQ Explorer 和 SupportPac MO71 等桌面工具以及 IR-360、AppWatch、QPasa 等中央生产力/管理工具使用命令服务器!和别的。它还被监视代理(例如 Tivoli Omegamon XE for Messaging)和其他工具(例如您可能编写的自定义脚本)使用。如果您不使用这些工具中的任何一个，您可以关闭命令服务器。

通常，我建议人们在永远不会使用命令服务器的情况下关闭它。在大多数时间关闭它然后在批准的更改窗口期间打开它的替代方案有点复杂。在那种情况下，您真正​​得到的是减少了攻击者的机会窗口，但您用它换取了额外的复杂性。例如，当需要打开命令服务器时，您首先需要确保队列是清空的，否则攻击者可以将命令预加载到命令队列中。此外，如果有权访问 QMgr 的攻击者能够让后台进程在服务器上运行，则它可以在将命令放入队列之前轮询命令队列并观察输入句柄。

您可能认为访问 QMgr 的先决条件和运行守护程序的能力是一个很高的标准，但考虑到大多数商店运行 WebSphere App Server 和 WebSphere Message Broker 具有完整的 MQ 管理员权限。在这些情况下，每个程序或工作流都是潜在的攻击者。尽管还没有公开报告涉及 MQ 的外部漏洞，但我曾参与过许多 WMQ 被好心员工破坏的任务，这些员工只是想完成他们的工作，并通过使用他们的应用程序的管理权限来走捷径QMgr 来“修复”某些东西。

我通常做的异常(exception)是 B2B 网关 QMgrs。我通常对这些设置很多安全措施并且不介意增加的复杂性。事实上，为 B2B 使用网关 QMgr 的原因之一是，您可以将这种复杂性限制在一台主机上，而不是允许外部连接在许多 QMgr 上终止，并且必须在所有 QMgr 上增加安全性。因此，我使用网关并将其保护到一定程度，这在整个网络中是不切实际的。

总而言之，如果您不使用任何远程生产力或管理工具，请继续关闭命令服务器。如果您确实需要偶尔运行它，请自动启动，以便在启动命令服务器之前清除命令队列(包括后续检查以确保深度为零)。这应该被视为次要安全控制，因为如果 channel 允许管理访问，它的效果将非常有限。所以尽快升级到 V7.1 或更高版本，然后使用 CHLAUTH 规则和 SET AUTHREC 命令锁定 channel ，然后再担心命令服务器。