Всякий раз, когда создается объект MQ, пользователь, который его создал (или его основная группа на не-Windows распределенных платформах), получает все права на объект. На практике это обычно означает, что группа mqm видна на каждом объекте, когда вы выполняете дамп auths. В окнах это часто [email protected]
в дополнение к mqm.
В Linux вы можете сделать ...
echo "dis chl(*) mcauser | runmqsc [qmgrname]
... из командной строки, чтобы увидеть, что MCAUSER на каналах. Вы также можете увидеть это с помощью MQ Explorer.
Определенный MCAUSER для всех входящих каналов должен быть таким, который блокирует весь доступ. Я рекомендовал nobody
, но поскольку это потенциально допустимый идентификатор в некоторых системах, теперь я рекомендую *nobody
. Обратите внимание, что по «входящим каналам» относятся значения типа RCVR
, RQSTR
, CLUSRCVR
и SVRCONN
. Под «все» я имею в виду каналы с именем SYSTEM.AUTO.*
, SYSTEM.DEF.*
и все, что вы сами определяете.
Убедитесь, что правило выхода или CHLAUTH
сопоставляет MCAUSER с ожидаемым значением, когда запрос на соединение аутентифицирован. Правила CHLAUTH
доступны в любой версии MQ с 7.1 по вверх. Это сопоставление гарантирует, что может подключиться только аутентифицированный пользователь или партнер QMgr.
Если разрешения (setmqaut
или SET AUTHREC
команды) определяется без также определений CHLAUTH
правил или настройки выхода безопасности, эффект хуже безопасности, а не лучше. Причина в том, что у законных пользователей появятся, чтобы иметь ограничения на их подключение, но злонамеренные пользователи смогут легко обмануть административный идентификатор пользователя.
Для получения дополнительной информации по этой теме, пожалуйста, ознакомьтесь с основными слайдами для упрощения процесса MQ на http://t-rob./net/links.
Благодарю вас за короткий ответ! – A23149577