悪意のあるアーカイブコンテンツに対するセキュリティを改善
Talend JobServerには、ZIP Slip攻撃やZIP Symlink攻撃に対する保護機能が組み込まれています。悪意のあるジョブアーカイブコンテンツに対するTalend JobServerの保護を強化したい場合は、アーカイブプロパティに制限を設定できます。
悪意のあるジョブアーカイブコンテンツの場合、ファイルシステムの破壊やディス容量の枯渇を狙ったサービス拒否攻撃が行われる可能性があります。
そのようなリスクを避けるため、ジョブデプロイメントに必要なスペースを考慮しながらフォルダーやファイル名の制限を厳しく設定することができます。デフォルト値は、etcディレクトリーにあるorg.talend.remote.jobserver.server.cfgファイルに格納されています。
これらの値は、TalendJobServersFilesフォルダーに使われるファイルシステムでサポートされている名前サイズを超えないようにする必要があります。1つまたは複数の制限を超えた場合、エラーメッセージが表示され、デプロイメントは拒否されます。
情報メモ注: getconf -a | grep -i name_maxというコマンドを使えば、Linuxでの現在の使用制限をチェックできます。
編集可能なパラメーターのデフォルト値は次のとおりです。該当するパラメーターはすべて次のように始まります:
org.talend.remote.jobserver.commons.config.JobServerConfiguration.| パラメーター | 説明 |
|---|---|
|
デプロイメント中に展開されるアーカイブZIPファイルの最大サイズ。 デフォルト値は1GBです。 |
|
アーカイブファイル内のエントリー数。 デフォルトの最大値は2048です。 |
|
アーカイブZIPファイル名の長さ。 デフォルトの最大値は240文字です。 |
|
アーカイブZIPファイル内のフォルダー名の長さ。 解凍されたフォルダー名のデフォルトの最大長は240文字です。 |
|
アーカイブZIPファイル内のファイル名の長さ。 デフォルトの最大値は240文字です。 |
|
アーカイブZIPファイル内のフォルダーの深度制限。 デフォルト値は64レベルです。 |
|
TalendJobServersFiles/archiveJobsフォルダーに格納されている全アーカイブの合計のサイズ制限。 デフォルトのサイズ制限は100GBです。 |