静默式设置IHS加入WAS DMGR管理并成功分发插件

现在的新版的WAS版本,将IHS加入到WAS的DMGR管理,一般有几中方式,一是静默式设置,二是,用WCT图形化设置,三是,在DMGR通过增加远程非受管节点的方式来将IHS加入到WAS的DMGR管理,让DMGR可以控制IHS的启停,下面,就说明静默式设置试,就是在遇到IHS,无法使用图形化界面时,如何在命令行,将IHS加入到WAS 的DMGR管理。

一、在IHS所在机器,静默式安装IM,IHS,PLUGIN,WCT工具软件,这里在本博客早前的文章有详细说明,这里不详述。有兴趣者,可以在本博客搜索就知道静默式安装方法。

二、在WAS 所在机器,静默式安装IM,WAS工具软件,并创建相应Node和DMGR,这些在本博客早前的文章有详细说明,这里也不详述,有兴趣者,可以在本博客搜索就知道静默式安装方法。

三、编辑ihs远程加入到DMGR的response.xml文件,内容如下:

configType=remote
enableAdminServerSupport=true
enableUserAndPass=true
enableWinService=false
ihsAdminCreateUserAndGroup=true
ihsAdminPassword=wasadmin
ihsAdminPort=8008
ihsAdminUnixUserGroup=wasadmin
ihsAdminUnixUserID=wasadmin
mapWebServerToApplications=true
wasMachineHostname=rhel6desk
webServerConfigFile1=/opt/IBM/HTTPServer/conf/httpd.conf
webServerDefinition=webserver1
webServerHostName=ctos6desk
webServerOS=Linux
webServerPortNumber=80
webServerSelected=ihs

留意红色标注的参数,要跟实际环境参数匹配。

四、编辑安装脚本:wct_shell.sh ,内容如下:

cd /opt/IBM/WebSphere/Toolbox/WCT/

./wctcmd.sh -tool pct -defLocPathname /opt/IBM/WebSphere/Plugins -defLocName webserver1 -createDefinition -response /opt/IBM/WebSphere/Toolbox/WCT/response.xml 

五、执行wct_shell.sh ,如下所示:

阅读更多

特别记录:IHS 插件分发不成功的解决办法

有时候,我们在WAS 的DMGR管理控制台在增加WebServer服务器,生成插件顺利成功,分发插件却死活不成功,我们在将ihs加入到dmgr管理,一般有两种方法,一是,直接在DMGR管理控制台,增加非受管节点方式,将IHS加入到DMGR管理,二是,通过WCT图形化工具,将IHS加入到DMGR管理,三是,通过静默式,加载 response.xm文件来半IHS加入到WAS 的DMGR管理。但是这三种方式,都有可能遇到插件分发不成功的故障与现像,因而,下面,特总结以下排查方向和思路。有助解决插件分发不成功的问题:

1、IHS和WAS的机器,防火墙要关掉,这里假如IHS和WAS的机器为LINUX系统,要将IHS和WAS所在机器的IPTABLES防火墙关掉,要将SeLinux属性disabled掉。

2、如果IHS机器和WAS机器之间有物理防火墙,要在防火墙将相关的8879,80,8008,9060,9443等相关端口,双向开放。

3、要在dmgr管理里,ihs的远程管理服务器,确认属性设置精确,例如,80端口,plugin 路径,httpd.conf路径,还有8008端口,ihs 的管理控制用户,和密码要正确。

4、要保证IHS的httpd.conf的启动用户属组为user nobody group nobody ,和admin.conf的启动用户为管理控制用户,例如你单独设了一个ihsadmin 的管理用户,要在admin.conf将user 和group 设为ihsadmin

5、如果在分发手件不成功,并提示文件权限不正确时候,可以将整个 httpserver 和plugin目录,改成ihsadmin 用户属组,例如:chown -R /opt/IBM/HTTPServer/  chown -R /opt/IBM/WebSphere/Plugin/

 

解决CVE-2015-2808 和CVE-2014-3566漏洞对IBM IHS的影晌

近日,客户转来安全公司给客户IBM I HS WEB服务器的安全扫描结果,说明存在CVE-2015-2808 和CVE-2014-3566漏洞,如下所述:

SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)【原理扫描】 漏洞描述:

目前多数浏览器版本都支持SSL3.0,TLS协议的握手阶段包含了版本协商步骤,一般来说,客户端和服务器端的最新的协议版本将会被使用。其在与服务器端的握手阶段进行版本协商的时候,首先提供其所支持协议的最新版本,若该握手失败,则尝试以较旧的协议版本协商。能够实施中间人攻击的攻击者通过使受影响版本浏览器与服务器端使用较新协议的协商的连接失败,可以成功实现降级攻击,从而使得客户端与服务器端使用不安全的SSL3.0进行通信,此时,由于SSL 3.0使用的CBC块加密的实现存在漏洞,攻击者可以成功破解SSL连接的加密信息,比如获取用户cookie数据。这种攻击被称为POODLE攻击(Padding Oracle On Downgraded Legacy Encryption)。

修复建议:

建议禁用SSL 3.0协议。

目前常用浏览器只有IE 6.0仍然不支持TLS 1.0,禁用SSL 3.0协议将影响IE 6客户的

SSL访问。

服务端禁用方法:

Apache 2.x:

在mod_ssl配置文件中使用如下命令禁用SSLv2和SSLv3:

SSLProtocol All -SSLv2 -SSLv3

重启Apache

SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】 漏洞描述:

SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了”不变性漏洞”,这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。

修复建议:

建议禁止apache服务器使用RC4加密算法

vi /etc/httpd/conf.d/ssl.conf

修改为如下配置

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4

重启apache服务

 

并给出针对apache的修补建议,而没有给出 IHS的修补建议,考虑到IHS 源自于开源的APACHE。结构和功能有点类似。经过一翻探索,从IBM 官网找到对这两个漏洞的修补建议,特回复客户如下:也顺便在本博客记录一份,如下:

关于那两个漏洞修补方法如下:

一、将ibm HIS 8.0.0.7 升级到ibm  I HS 8.0.0.10以上,可以修补这两个漏洞。

二、如果不打补丁到his 8.0.0.10以上。那就可以这样修改 I HS  http.conf文件。

阅读更多