Sécuriser le moteur distant
Améliorez la sécurité du moteur distant en chiffrant les valeurs sensibles de configuration et en implémentant des protections contre les contenus d'archive d'artefacts potentiellement dangereux.
Chiffrer les valeurs sensibles avant le premier démarrage de Talend Remote Engine
Procédure
Résultats
Après démarrage du moteur, les valeurs de configuration suivantes sont protégées :
Services | Fichiers | Propriétés |
---|---|---|
ActiveMQ | org.talend.ipaas.rt.eventsource.amq.cfg | activemq.broker.password |
Stockage des artefacts Cloud | org.ops4j.pax.url.mvn.cfg | org.ops4j.pax.url.mvn.servers.<account-id>.release.secretKey |
Stockage des logs Cloud | org.talend.ipaas.rt.logs.cfg | account.secret.key |
Chambre forte des métriques d'exécution des artefacts | org.talend.ipaas.engine.metrics.vault.cfg | vault.secretId |
Métriques d'observabilité | org.talend.observability.omc.appender.vault.cfg | vault.secretId |
Améliorer la sécurité contre le contenu malveillant dans une archive
Pourquoi et quand exécuter cette tâche
Du contenu d'archive de Jobs malveillant peut conduire à des attaques par déni de service (Denial of Service, DoS) dont l'objectif est de compromettre le système de fichiers ou de consommer tout l'espace disque disponible.
Pour limiter ce risque, vous pouvez définir des limites plus strictes pour les noms de fichiers et dossiers, assurant l'espace nécessaire à vos déploiements de Jobs. Les valeurs par défaut de ces limites sont stockées dans le fichier org.talend.remote.jobserver.server.cfg situé dans le répertoire etc.
Lorsque vous configurez ces valeurs, assurez-vous qu'elles ne dépassent pas les limites supportées par le système de fichiers utilisé pour le dossier TalendJobServersFiles. Si l'une des limites spécifiées est dépassée lors du déploiement, un message d'erreur est affiché et le déploiement est rejeté. Cette approche permet de maintenir l'intégrité du système et d'éviter de potentielles brèches de sécurité.
Cette commande affiche toutes les variables de configuration système relatives à la longueur maximale des noms de fichiers.
Procédure
org.talend.remote.jobserver.commons.config.JobServerConfiguration.
Paramètres | Description |
---|---|
|
Taille maximale du fichier archive ZIP en cours d'extraction durant le déploiement. La valeur par défaut est de 1 Go. |
|
Nombre d'entrées dans le fichier archive. La valeur maximale par défaut est de 2048. |
|
Longueur du nom du fichier archive ZIP. La valeur maximale par défaut est de 240 caractères. |
|
Longueur du nom des dossiers dans le fichier archive ZIP. La longueur maximale par défaut du nom de dossier dézippé est de 240 caractères. |
|
Longueur du nom des fichiers dans le fichier archive ZIP. La valeur maximale par défaut est de 240 caractères. |
|
Limite de profondeur des dossiers au sein du fichier archive ZIP. La valeur par défaut est de 64 niveaux. |
|
Limite de taille pour la somme de toutes les archives stockées dans le dossier TalendJobServersFiles/archiveJobs. La limite de taille par défaut est de 100 Go. |