...
警告 |
---|
この設定はCentOS 7では機能しないことが判明しました。Xercesライブラリのバージョンが3.1.4以上である必要があるがCentOS 7で提供されている(Red Hatが提供している標準パッケージ)が3.1.1である(2018年1月現在バックポートもされていない)ことが原因です。以下にCentOS 7向けの手順がありますがこの通りに実施しても有効にはなりませんのでご注意ください。 誤った情報を提供しておりましたことをお詫びします。 |
脆弱性の温床であるDTD形式での記述を一切処理しないようにすることができます。Shibbolethおよび学認では使用しておりませんので、セキュリティ強化のため是非この手順を実施してください。CentOS 6では、脆弱性の温床であるDTD形式での記述を一切処理しないようにすることができます。Shibbolethおよび学認では使用しておりませんので、セキュリティ強化のため是非この手順を実施してください。
実施するには、/etc/sysconfig/shibd
および/etc/sysconfig/httpd
の末尾に以下の行を加えます。(CentOS の末尾に以下の行を加えます。(CentOS 7での手順は後述)
書式設定済み |
---|
export XERCES_DISABLE_DTD=1 |
...
書式設定済み |
---|
$ sudo /sbin/service httpd restart $ sudo /sbin/service shibd restart $ sudo less /proc/`pidof -s shibd`/environ $ sudo less /proc/`pidof -s httpd`/environ |
展開 | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
|
verifyBackup="false"
バッキングファイルが他者によって変更されないことが確実な場合はSignature MetadataFilterの末尾に verifyBackup="false"
を追加してください。起動時のメタデータ読み込み時にバッキングファイルの署名検証がスキップされ起動が速くなります。
...