Réglages spécifiques aux serveurs sur site

Articles techniques

Solution

Application

Content Type

Documentation technique

Utilities & Services

ft:locale

fr-FR

Serveur OS

Vous pouvez héberger Jamf Pro sur tous les serveurs respectant les exigences indiquées à la page Exigences système pour Jamf Pro des Notes de version Jamf Pro.

Note:

S’il est possible d’installer Jamf Pro sur n’importe quel serveur remplissant les exigences minimales, les programmes d’installation de Jamf Pro pour Linux et Windows présentent des exigences supplémentaires. Pour plus d’informations, reportez-vous au Guide d’installation et de configuration Jamf Pro pour votre plateforme.

Pour sécuriser encore davantage le système d’exploitation du serveur, tenez compte des recommandations suivantes en matière de réglages système :

Désactiver l’accès des invités
Désactiver l’ouverture de session automatique
Supprimer les comptes de service facultatifs
Supprimer ou réinitialiser tous les mots de passe par défaut
Limiter les privilèges des comptes au minimum requis
Limiter les processus au minimum requis
Contrôler les ports et les services réseau disponibles

Java

Le serveur Jamf Pro et les technologies sous-jacentes (Apache Tomcat) s’appuient sur le JDK (Java Development Kit) doté d’une cryptographie à puissance illimitée. Pour plus d’informations relatives à l’installation de Java, reportez-vous à l’article Installer Java et MySQL pour Jamf Pro 10.14.0 ou version ultérieure.

Apache Tomcat

Apache Tomcat est un serveur Web open source dont le développement et la maintenance sont assurés par Apache Software Foundation et qui permet d’exécuter l’app Web Jamf Pro. Pour plus d’informations relatives à la sécurisation d’Apache Tomcat, consultez l’article Security Considerations (Considérations relatives à la sécurité) de la documentation Apache.

Les recommandations de cette section vous aideront à assurer la sécurité d’Apache Tomcat.

Le tableau suivant répertorie les chemins d’accès par défaut aux fichiers Tomcat que vous devrez configurer dans les instructions qui suivent.


Fichier	Chemin Linux	Chemin Windows
server.xml	/usr/local/jss/tomcat/conf/server.xml	C:\Program Files\JSS\Tomcat\conf\server.xml
ServerInfo.properties	/usr/local/jss/tomcat/webapps/ROOT/WEB-INF/classes/ServerInfo.properties	C:\Program Files\JSS\Tomcat\webapps\ROOT\WEB-INF\classes\ServerInfo.properties
web.xml	/usr/local/jss/tomcat/conf/web.xml	C:\Program Files\JSS\Tomcat\conf\web.xml

Important:

Après avoir modifié l’un de ces fichiers, vous devez redémarrer Tomcat pour appliquer les modifications.

Note:

Avant toute modification, Jamf vous recommande d’effectuer une copie de tous les fichiers que vous comptez modifier

Modifications de server.xml recommandées

Masquer les informations du serveur et les traces de la pile —
Améliorez la sécurité de Tomcat en masquant les informations du serveur et les traces de la pile dans les pages d’erreur afin d’empêcher que la version de Tomcat soit indiquée dans les pages d’erreur et de masquer les traces de pile. Cela implique la mise à jour du fichier server.xml pour inclure les attributs showReport="false" et showServerInfo="false" dans l’élément Valve. Ajoutez les lignes suivantes à la section Host (Hôte) du fichier server.xml :
```
<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false"/>
```

Utiliser uniquement HTTPS et désactiver HTTP —Modifiez le fichier server.xml en désactivant le connecteur HTTP non SSL.

<!--
<Connector URIEncoding="UTF-8" executor="tomcatThreadPool" port="8080" protocol="HTTP/1.1"
connectionTimeout="20000" maxPostSize="8388608" redirectPort="8443" />
-->

Autoriser la journalisation des accès —
Pour utiliser la valve de journal d’accès par défaut, supprimez les marques de commentaire ou définissez le Valve className sur « org.apache.catalina.valves.AccessLogValve ». Vous pouvez utiliser les valeurs consignées par défaut ou configurer les valeurs d’attribut du modèle en suivant les instructions de la documentation Apache :
- Pour Tomcat 10.1, consultez la section Extended Access Log Valve (Élément Valve du journal des accès étendus) du guide Référence pour la configuration d’Apache Tomcat 10.
- Pour Tomcat 9, consultez la section Extended Access Log Valve (Élément Valve du journal des accès étendus) du guide Référence pour la configuration d’Apache Tomcat 9.
- Pour Tomcat 8.5, consultez la section Extended Access Log Valve (Élément Valve du journal des accès étendus) du guide Référence pour la configuration d’Apache Tomcat 8.
Bloquer la divulgation de la version de Tomcat via la modification de l’élément valve —
Pour éviter que la version d’Apache Tomcat ne figure dans l’en-tête HTTP de réponse, configurez l’attribut ErrorReportValve dans le fichier CATALINA_BASE/conf/server.xml en suivant les instructions contenues dans la section Valves du guide de l’utilisateur Apache Tomcat.
Empêcher la communication sur le port AJP via la modification du connecteur —
Pour empêcher le port AJP par défaut (8009) de devenir accessible aux réseaux non fiables, procédez de l’une des façons suivantes :
- Retirez le connecteur AJP dans le fichier server.xml et redémarrez le service Tomcat de Jamf Pro.
- Désactivez le port 8009 dans votre pare-feu.
- Effectuez la mise à niveau vers Jamf Pro 10.20.0 ou version ultérieure.

Modifications de serverInfo.properties recommandées

Empêcher la divulgation de la version du serveur —Pour empêcher la divulgation de la version du serveur, modifiez le fichier ServerInfo.properties en suivant les recommandations de la section Valves du guide de l’utilisateur Apache Tomcat.

Modifications de web.xml recommandées

Activer les en-têtes de réponse HSTS (HTTP Strict Transport Security) (Jamf Pro 10.4.0–10.43.x) —Jamf recommande d’activer les en-têtes de réponse HSTS. Le HSTS demande aux navigateurs Web de se connecter à votre serveur Jamf Pro uniquement via HTTPS. Pour activer les en-têtes de réponse HSTS, vous devez apporter des modifications uniques au fichier web.xml si vous effectuez ou reportez la mise à niveau vers Jamf Pro 10.44.0. Pour obtenir des instructions, consultez l’article Enabling HSTS for Jamf Pro (Activation du HSTS pour Jamf Pro).
Note:
Les nouvelles installations de Jamf Pro 10.44.0 ou version ultérieure activent automatiquement les en-têtes de réponse HSTS.
Modifier la page d’erreur par défaut dans le fichier web.xml —Modifiez le fichier web.xml en suivant les recommandations de la section web.xml du guide de l’utilisateur Apache Tomcat.

MySQL

MySQL est un système de gestion de bases de données relationnelles dont la gestion et la maintenance sont assurées par Oracle. Le serveur Jamf Pro utilise MySQL comme base de données de back-end pour le stockage et la maintenance des données du système. Veillez toujours à ce que MySQL soit à jour et sécurisé en suivant les recommandations ci-après.

Exécuter le script mysql_secure_installation par défaut

Cette installation de MySQL comprend l’utilitaire en ligne de commande mysql_secure_installation qui automatise les tâches de sécurisation de votre installation MySQL. Exécuter mysql_secure_installation vous permet d’améliorer la sécurité de votre installation MySQL en définissant un mot de passe pour les comptes racine et en supprimant certains comptes, la base test et les privilèges d’accès.

Pour plus d’informations, reportez-vous à la documentation associée à votre version de MySQL :

MySQL 8.4 : https://dev.mysql.com/doc/refman/8.4/en/mysql-secure-installation.html
MySQL 8.0 : https://dev.mysql.com/doc/refman/8.0/en/mysql-secure-installation.html

Si mysql_secure_installation n’est pas disponible, procédez comme suit :

Définissez un mot de passe pour les comptes root
Supprimez tous les privilèges des comptes utilisateur anonymes
Supprimez la base de données test et tous les privilèges associés

Créez un nom de base de données unique et un utilisateur MySQL unique avec un mot de passe sécurisé

Pour plus d’informations relatives à la modification du nom de la base de données et du mot de passe utilisateur root MySQL, reportez-vous à l’article Création manuelle de la base de données Jamf Pro.

Note:

Pour renforcer la sécurité, utilisez un nom de base de données unique et un mot de passe utilisateur MySQL racine différents de ceux utilisés en exemples dans l’article.

Limiter les privilèges au minimum requis

Si vous souhaitez restreindre davantage l’accès à MySQL, vous pouvez créer des comptes utilisateur distincts avec des privilèges limités. Pour plus d’informations, consultez les pages Web suivantes :

MySQL 8.4 Reference Manual: Adding Accounts, Assigning Privileges, and Dropping Accounts (Manuel de référence MySQL 8.0 : ajout de comptes, attribution de privilèges et suppression de comptes)
MySQL 8.0 Reference Manual: Adding Accounts, Assigning Privileges, and Dropping Accounts (Manuel de référence MySQL 8.0 : ajout de comptes, attribution de privilèges et suppression de comptes)

Voici une liste des privilèges MySQL requis pour différents types d’environnements :

Pour une application Web autonome ou le nœud principal dans des environnements en cluster :
- ALTER
- CREATE
- DELETE
- DROP
- INDEX
- INSERT
- LOCK TABLES
- REFERENCES
- SELECT
- UPDATE
Pour un nœud enfant dans des environnements en cluster :
- DELETE
- DROP
- INSERT
- LOCK TABLES
- SELECT
- UPDATE
Pour afficher les connexions des nœuds en cluster avec différents utilisateurs MySQL :
- PROCESS
Note:
Le privilège PROCESS nécessite l’utilisation de « *.* ».

Par exemple, vous pouvez exécuter des commandes en utilisant la syntaxe générale suivante :

GRANT <privileges> ON <database> TO <user>;

Planifier des sauvegardes de la base de données

Pour plus d’informations, consultez l’article suivant : Sauvegarde de la base de données à l’aide des outils du serveur Jamf Pro.

Supprimer la clé <DataBasePassword> ou définir une valeur vide

Si le mot de passe de la base de données est supprimé du fichier de configuration, il devra être saisi manuellement au démarrage de l’application Web du serveur Jamf Pro. Dans un environnement en cluster, le mot de passe doit être saisi manuellement pour chaque nœud individuel.

Note:

Les valeurs par défaut sont incluses à titre de référence uniquement. Utilisez des valeurs uniques dans les environnements de production.

<DataBase>
...
<DataBaseName>jamfsoftware</DataBaseName>
<DataBaseUser>jamfsoftware</DataBaseUser>
<DataBasePassword></DataBasePassword>
...
</DataBase>

Sécurisation de Memcached

Il existe différentes façons de sécuriser Memcached, selon votre environnement. Voici quelques exemples :

Configurer les serveurs Memcached pour qu’ils ne soient pas accessibles depuis l’extérieur
Mettre en œuvre des règles de pare-feu pour limiter le trafic entre les serveurs Memcached et les nœuds Tomcat mis en cluster de Jamf Pro
Désactiver l’UDP dans le fichier memcached.conf
Utiliser l’option -l pour limiter le trafic à une adresse IP spécifique.

L’exemple suivant d’un fichier memcached.conf montre comment vous pouvez désactiver l’UDP et limiter le trafic à une adresse IP spécifique :

PORT="11211"
USER="memcached"
# max connection 2048
MAXCONN="2048"
# set ram size to 2048 - 2GiB
CACHESIZE="4096"
# disable UDP and listen to loopback ip 127.0.0.1, for network connection use real ip e.g., 10.0.0.5
OPTIONS="-U 0 -l 127.0.0.1"

Pour plus d’informations, consultez l’article Memcached Installation and Configuration for Jamf Pro Environments (Installation et configuration de Memcached pour les environnements Jamf Pro).

Pour plus d’informations relatives aux ports utilisés dans un environnement Jamf Pro standard, consultez l’article Ports réseau utilisés par Jamf Pro.