オンプレミス固有の設定

技術に関する記事

Solution

Application

Content Type

テクニカル資料

Utilities & Services

ft:locale

ja-JP

サーバ OS

Jamf Pro リリースノートの Jamf Pro システム要件ページに記載されている要件を満たす任意のサーバであれば、Jamf Pro をホストできます。

Note:

最低要件を満たすあらゆるサーバに Jamf Pro をインストールできますが、Mac、Linux、Windows 用 Jamf Pro インストーラには追加要件があります。詳細については、お使いのプラットフォームの「Jamf Pro Installation and Configuration Guide (Jamf Pro のインストールと構成ガイド)」を参照してください。

サーバ OS のセキュリティを強化するには、以下の推奨システム設定に留意してください。

ゲストアクセスを無効にする
自動ログインを無効にする
不要なサービスアカウントを削除する
すべてのデフォルトパスワードを削除またはリセットする
必要最小限のアカウント権限に制限する
必要最小限のプロセスに制限する
使用可能な port とネットワークのサービスを制御する

Java

Jamf Pro サーバと対応テクノロジー (Apache Tomcat) は、無制限強度の暗号化を備えた Java Development Kit (JDK) に依存します。Java のインストール方法の詳細については、記事の Jamf Pro 10.14.0以降用の Java と MySQL をインストールするを参照してください。

Apache Tomcat

Apache Tomcat は、Apache Software Foundation によって開発および保守されているオープンソース Web サーバであり、Jamf Pro Web App を実行するために使用されます。Apache Tomcat のセキュリティ保護の詳細については、Apache のドキュメント Security Considerations (セキュリティに関する考慮事項) を参照してください。

このセクションの推奨事項は、Apache Tomcat のセキュリティを強化する上で役立ちます。

次の表は、後で示す指示で構成する必要のある Tomcat ファイルへのデフォルトファイルパスを一覧表示しています。


ファイル	Linux のパス	Windows のパス
server.xml	/usr/local/jss/tomcat/conf/server.xml	C:\Program Files\JSS\Tomcat\conf\server.xml
ServerInfo.properties	/usr/local/jss/tomcat/webapps/ROOT/WEB-INF/classes/ServerInfo.properties	C:\Program Files\JSS\Tomcat\webapps\ROOT\WEB-INF\classes\ServerInfo.properties
web.xml	/usr/local/jss/tomcat/conf/web.xml	C:\Program Files\JSS\Tomcat\conf\web.xml

Important:

変更内容を反映するには、これらのファイルのどれかに修正を加えた後に、Tomcat を再起動する必要があります。

Note:

変更を加える前に、修正するファイルのバックアップをとることを、Jamf は推奨します。

推奨される server.xml の変更

サーバ情報とスタックトレースを非表示にする —
エラーページでサーバ情報とスタックトレースを非表示にして Tomcat のセキュリティを強化し、エラーページで Tomcat のバージョンが報告されないようにし、スタックトレースを非表示にします。これには、server.xml ファイルをアップデートして、バルブ要素に showReport="false" および showServerInfo="false" 属性を含めることが伴います。server.xml ファイルのホストセクションに次の行を追加します。
```
<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false"/>
```

HTTPS のみの使用と HTTP の無効化 —非 SSL HTTP コネクタを無効にすることにより、server.xml ファイルを修正してください。

<!--
<Connector URIEncoding="UTF-8" executor="tomcatThreadPool" port="8080" protocol="HTTP/1.1"
connectionTimeout="20000" maxPostSize="8388608" redirectPort="8443" />
-->

アクセスロギングの有効化 —
デフォルトのアクセスログバルブを使用するには、コメントアウトを外すか、Valve className を「org.apache.catalina.valves.AccessLogValve」に設定します。デフォルトログ値を使用するか、Apache のドキュメントに示された手順に従ってパターン属性値を構成できます。
- Tomcat 10.1については、Apache Tomcat 10 Configuration Reference (Apache Tomcat 8構成リファレンス) の Extended Access Log Valve (拡張アクセスログバルブ) を参照してください。
- Tomcat 9については、Apache Tomcat 9 Configuration Reference (Apache Tomcat 9構成リファレンス) の Extended Access Log Valve (拡張アクセスログバルブ) を参照してください。
- Tomcat 8.5については、Apache Tomcat 8 Configuration Reference (Apache Tomcat 8構成リファレンス) の Extended Access Log Valve (拡張アクセスログバルブ) を参照してください。
バルブ修正による Tomcat のバージョニングの回避 —
応答 HTTP ヘッダーで Apache Tomcat のバージョンがレポートされるのを回避するには、Apache Tomcat User Guide (Apache Tomcat ユーザガイド) のドキュメント Valve (バルブ) に従って、CATALINA_BASE/conf/server.xml ファイルにある ErrorReportValve 属性を構成します。
コネクタ修正による AJP ポートを介した通信を回避 —
デフォルト AJP ポート (8009) が信頼できないネットワークにアクセスできないようにするために、以下のいずれかを実行してください。
- server.xml ファイルの AJP コネクタをコメントアウトし、Jamf Pro Tomcat サービスを再起動します。
- ファイアウォールでポート 8009 を無効にします。
- Jamf Pro 10.20.0 以降へアップグレードします。

推奨される serverInfo.properties の変更

サーババージョンのディスクロージャの回避 —サーババージョンのディスクロージャを回避するため、Apache Tomcat User Guide (Apache Tomcat ユーザガイド) の Valves (バルブ) セクションにある推奨事項に従い、ServerInfo.properties ファイルを変更します。

推奨される web.xml の変更

HTTP Strict Transport Security (HSTS) 応答ヘッダーを有効にする (Jamf Pro 10.4.0–10.43.x) —Jamf では、HSTS 応答ヘッダーを有効にすることを推奨しています。HSTS は、HTTPS のみを使用して Jamf Pro サーバに接続するように Web ブラウザに指示します。HSTS 応答ヘッダーを有効にするには、Jamf Pro 10.44.0へのアップグレード、またはアップグレードの延期を行う際に、web.xml ファイルに1回限りの変更を加える必要があります。手順については、記事 Enabling HSTS for Jamf Pro (Jamf Pro での HSTS の有効化) を参照してください。
Note:
Jamf Pro 10.44.0以降の新規インストールでは、HSTS 応答ヘッダーが自動的に有効になります。
web.xml ファイルでデフォルトのエラーページを変更する —Apache Tomcat User Guide (Apache Tomcat ユーザガイド) の web.xml セクションにある推奨事項に従い、web.xml ファイルを変更します。

MySQL

MySQL は Oracle が開発、維持するリレーショナルデータベースマネジメントシステムです。Jamf Pro サーバは MySQL をバックエンドデータベースとして、システムデータの保存とメンテナンスに使用します。以下の推奨事項に従い、MySQL を最新状態に保ち、セキュリティを保護してください。

デフォルトの mysql_secure_installation を実行する。

MySQL のインストールには mysql_secure_installation コマンドラインユーティリティが含まれており、これによって MySQL インストールを保護するためのタスクが自動化されます。mysql_secure_installation を実行すると、root アカウントのパスワード設定、特定アカウントや test ベース、アクセス権限の削除によって MySQL インストレーションのセキュリティを強化できます。

詳細については、MySQL バージョンに対応する以下の資料を参照してください。

MySQL 8.4： https://dev.mysql.com/doc/refman/8.4/en/mysql-secure-installation.html
MySQL 8.0：https://dev.mysql.com/doc/refman/8.0/en/mysql-secure-installation.html

mysql_secure_installation が利用できない場合は、以下の手順を実行します。

root アカウントのパスワードを設定する
匿名ユーザアカウントからすべての権限を削除する
test データベースと関連するすべての権限を削除する

一意のデータベース名とセキュアパスワードのある一意の MySQL ユーザを作成する

データベース名と root MySQL ユーザパスワードの変更に関する詳細については、記事 Jamf Proデータベースの手動作成を参照してください。

Note:

セキュリティ強化のため、資料の例とは異なる一意のデータベース名と root MySQL ユーザパスワードを使用してください。

必要最小限の権限に制限する

MySQL へのアクセスをさらに制限する場合は、権限を制限した別のユーザアカウントを作成できます。参照ウェブページ：

MySQL 8.4 Reference Manual (MySQL 8.4リファレンスマニュアル)：Adding Accounts, Assigning Privileges, and Dropping Accounts (アカウントの追加、権限の割り当て、アカウントのドロップ)
MySQL 8.0 Reference Manual (MySQL 8.4リファレンスマニュアル)：Adding Accounts, Assigning Privileges, and Dropping Accounts (アカウントの追加、権限の割り当て、アカウントのドロップ)

以下は、さまざまな種類の環境に必要な MySQL 権限の一覧です。

クラスタ環境でのスタンドアロン Web アプリケーションまたはプライマリノードの場合：
- ALTER
- CREATE
- DELETE
- DROP
- INDEX
- INSERT
- LOCK TABLES
- REFERENCES
- SELECT
- UPDATE
クラスタ環境での子ノードの場合：
- DELETE
- DROP
- INSERT
- LOCK TABLES
- SELECT
- UPDATE
別の MySQL ユーザでクラスタノードからの接続を表示するには：
- PROCESS
Note:
PROCESS 権限では「*.*」の使用が必要です。

たとえば、次の一般的な構文を使用してコマンドを実行します。

GRANT <privileges> ON <database> TO <user>;

データベースバックアップのスケジュール設定

詳細については、Backing Up the Database Using Jamf Pro Server Tools (Jamf Pro サーバツールを使用したデータベースのバックアップ) 記事を参照してください。

<DataBasePassword> キーの削除、またはブランク値の設定

データベースパスワードが構成ファイルから削除された場合、起動中にデータベースパスワードをJamf Pro サーバ Web App へ手動で入力する必要があります。クラスタ環境では、データベースパスワードを Node 別に手動で入力しなければなりません。

Note:

デフォルト値はあくまでも参考にしてください。実稼働環境では、一意の値を使用してください。

<DataBase>
...
<DataBaseName>jamfsoftware</DataBaseName>
<DataBaseUser>jamfsoftware</DataBaseUser>
<DataBasePassword></DataBasePassword>
...
</DataBase>

Memcached の保護

Memcached を保護するには、環境に応じていくつかの方法があります。例：

Memcached サーバを外部からアクセスできるように構成しない
Memcached サーバと Jamf Pro クラスタ化 Tomcat ノード間のトラフィックを制限するファイアウォールルールの実装
memcached.conf ファイルで UDP を無効にする
-l フラグを使用して、特定の IP へのトラフィックを制限する

memcached.conf ファイルの例の次の抜粋は、UDP を無効にして特定の IP へのトラフィックを制限する方法を示しています。

PORT="11211"
USER="memcached"
# max connection 2048
MAXCONN="2048"
# set ram size to 2048 - 2GiB
CACHESIZE="4096"
# disable UDP and listen to loopback ip 127.0.0.1, for network connection use real ip e.g., 10.0.0.5
OPTIONS="-U 0 -l 127.0.0.1"

詳しくは、資料の Memcached Installation and Configuration for Jamf Pro Environments (Jamf Pro 環境のための Memcached のインストールと構成) を参照してください。

一般的な Jamf Pro 環境で使用されるポートの詳細については、記事の Network Ports Used by Jamf Pro (Jamf Pro が使用するネットワークポート) 記事を参照してください。