如何確定我是否需要在MQ中保留命令服務器？

Question

我看到一個來自MQ安全演示文稿的建議，如果不需要它，它會使命令服務器關閉。我的問題是我如何確定我是否真的需要它。 從我的觀點來看，如果目標QMGR沒有行政程序運行時如MQ資源管理器或其他的哪個發送命令消息QMGR，我們可以停止命令服務器，我說的對，

感謝

Answer 1

命令服務器由諸如WebSphere MQ Explorer和SupportPac MO71等桌面工具以及IR-360，AppWatch，QPasa等中央生產力/管理工具使用。和別的。它也用於監視代理程序，如Tivoli Omegamon XE for Messaging和其他工具，例如您可能編寫的自定義腳本。如果您不使用這些工具中的任何一種，則可以關閉命令服務器。

通常，我建議人們在永遠不會使用的情況下關閉命令服務器。在大多數情況下關閉它，然後在批准的更改窗口中打開它的方法稍微複雜一些。在這種情況下，你真正得到的是一個攻擊者減少的機會窗口，但是你爲了增加複雜性而進行交易。例如，當需要打開命令服務器時，首先需要確保隊列清除，否則攻擊者只能用命令預加載命令隊列。另外，如果有權訪問QMgr的攻擊者能夠在服務器上運行後臺進程，則它可以輪詢命令隊列並在將命令放入隊列之前監視輸入句柄。

您可能認爲訪問QMgr的先決條件和運行守護程序的能力是一個很高的要求，但是考慮到大多數商店運行具有完整MQ管理權限的WebSphere App Server和WebSphere Message Broker。在這些情況下，每個程序或工作流程都是潛在的攻擊者。儘管還沒有公開報告過涉及MQ的外部違規，但我曾參與許多任務，WMQ被那些只是試圖完成工作並且通過使用其應用程序的管理權限QMgr來「修復」一些東西。

我通常做的例外是B2B網關QMgrs。我通常會在這些方面提供很多安全性，並且不介意增加複雜性。事實上，將網關QMgr用於B2B的原因之一是，您可以將這種複雜性限制在一臺主機上，而不是允許外部連接在許多QMgr上終止，並且必須在所有主機上增加安全性。因此，我使用網關並將其保護到整個網絡不可行的程度。因此，總而言之，如果您不使用任何遠程生產或管理工具，請繼續並關閉命令服務器。如果您確實需要偶爾運行它，請在啓動命令服務器之前自動啓動，以便清除命令隊列（包括後續檢查以確保深度爲零）。這應該被視爲輔助安全控制，因爲如果渠道允許管理訪問，它將僅具有有限的效力。因此，儘快到V7.1或更高版本，然後使用CHLAUTH規則和SET AUTHREC命令來鎖定通道，然後再擔心命令服務器太多。