如何确定我是否需要在MQ中保留命令服务器？

Question

我看到一个来自MQ安全演示文稿的建议，如果不需要它，它会使命令服务器关闭。我的问题是我如何确定我是否真的需要它。 从我的观点来看，如果目标QMGR没有行政程序运行时如MQ资源管理器或其他的哪个发送命令消息QMGR，我们可以停止命令服务器，我说的对，

感谢

Answer 1

命令服务器由诸如WebSphere MQ Explorer和SupportPac MO71等桌面工具以及IR-360，AppWatch，QPasa等中央生产力/管理工具使用。和别的。它也用于监视代理程序，如Tivoli Omegamon XE for Messaging和其他工具，例如您可能编写的自定义脚本。如果您不使用这些工具中的任何一种，则可以关闭命令服务器。

通常，我建议人们在永远不会使用的情况下关闭命令服务器。在大多数情况下关闭它，然后在批准的更改窗口中打开它的方法稍微复杂一些。在这种情况下，你真正得到的是一个攻击者减少的机会窗口，但是你为了增加复杂性而进行交易。例如，当需要打开命令服务器时，首先需要确保队列清除，否则攻击者只能用命令预加载命令队列。另外，如果有权访问QMgr的攻击者能够在服务器上运行后台进程，则它可以轮询命令队列并在将命令放入队列之前监视输入句柄。

您可能认为访问QMgr的先决条件和运行守护程序的能力是一个很高的要求，但是考虑到大多数商店运行具有完整MQ管理权限的WebSphere App Server和WebSphere Message Broker。在这些情况下，每个程序或工作流程都是潜在的攻击者。尽管还没有公开报告过涉及MQ的外部违规，但我曾参与许多任务，WMQ被那些只是试图完成工作并且通过使用其应用程序的管理权限QMgr来“修复”一些东西。

我通常做的例外是B2B网关QMgrs。我通常会在这些方面提供很多安全性，并且不介意增加复杂性。事实上，将网关QMgr用于B2B的原因之一是，您可以将这种复杂性限制在一台主机上，而不是允许外部连接在许多QMgr上终止，并且必须在所有主机上增加安全性。因此，我使用网关并将其保护到整个网络不可行的程度。因此，总而言之，如果您不使用任何远程生产或管理工具，请继续并关闭命令服务器。如果您确实需要偶尔运行它，请在启动命令服务器之前自动启动，以便清除命令队列（包括后续检查以确保深度为零）。这应该被视为辅助安全控制，因为如果渠道允许管理访问，它将仅具有有限的效力。因此，尽快到V7.1或更高版本，然后使用CHLAUTH规则和SET AUTHREC命令来锁定通道，然后再担心命令服务器太多。