Worker 組態中的強化安全性設定
作為一項安全性措施,強制 WVS 內容可為 Worker 可執行檔提供額外保護。Worker 只會在其可執行檔的路徑與在內容中所指定前綴之一相符時啟用;否則,Worker 會遭到禁用。
必須在 wvs.properties 中透過將適當值新增至 site.xconf 檔案來配置包含指令的前綴。內容設定的詳細資訊可在 wvs.properties 檔案中的 WORKER EXECUTABLE PREFIX SETTINGS 一節中找到。
• 使用內容 worker.exe.allowlist.prefixes 提供可用於任何主機上之任何 Worker 的 Worker 可執行檔路徑前綴清單。
◦ 使用 site.xconf:
< Property name= "worker.exe.allowlist.prefixes" overridable="true"
targetFile="codebase/WEB-INF/conf/wvs.properties"
value="C:\PTC\CAD_Workers|nohup /PTC/CAD_Workers"/>
targetFile="codebase/WEB-INF/conf/wvs.properties"
value="C:\PTC\CAD_Workers|nohup /PTC/CAD_Workers"/>
◦ 使用 xconfmanager :
xconfmanager -s "worker.exe.allowlist.prefixes=C:\\PTC\\CAD_Workers|nohup /PTC/CAD_Workers" -t codebase/WEB-INF/conf/wvs.properties -p
• 或者,表單 worker.exe.allowlist.prefixes.<worker_host> 的內容可用來提供以每個 Worker 主機為基礎的指令前綴清單。
下列範例使用案例說明 worker.exe.allowlist.prefixes 內容的組態。
<Property name="worker.exe.allowlist.prefixes" overridable="true"
targetFile="codebase/WEB-INF/conf/wvs.properties"
value=" C:\|D:\|G:\|/|nohup /"/>
targetFile="codebase/WEB-INF/conf/wvs.properties"
value=" C:\|D:\|G:\|/|nohup /"/>
此組態適用於位於 C、D 與 G 磁碟機上的所有 Windows Worker,以及所有 Unix/Linux Worker。會使用分隔號 (直立線符號) 來分隔前綴。
 |
• 此內容的意圖是限制可由 Windchill 在遠端 Worker 機器上執行的指令碼 (作為 Windows 的 GS Worker Daemon 服務帳戶或 UNIX 的已配置 Telnet 登入帳戶)。
• 嘗試避免使用根資料夾路徑,例如 C:\ 或 D:\ 用於 Windows,/ 用於 UNIX,因為這幾乎無法防止惡意駭客。而是應決定建立 Creo View 轉接器設定資料夾的位置,例如 .C:\PTC\CAD_Workers,並將此父資料夾指定為泛用或 Worker 主機特定白名單內容中的值。
• 如果針對 Creo View 轉接器設定資料夾使用多個系統與不同位置,請指定分隔號 (豎線) 字元作為分隔符號,以分隔多個 Worker 指令或前綴。例如 D:\apps\remoteworkers|D:\apps\localworkers|/disk1/wvsworkers。
|
如需詳細資訊,請參閱文章 CS140965。