WebSphereWeb服务器安全配置基线.docx
《WebSphereWeb服务器安全配置基线.docx》由会员分享,可在线阅读,更多相关《WebSphereWeb服务器安全配置基线.docx(12页珍藏版)》请在冰豆网上搜索。
WebSphereWeb服务器安全配置基线
WebSphereWeb服务器
安全配置基线
中国移动通信有限公司管理信息系统部
2012年04月
版本
版本控制信息
更新日期
更新人
审批人
V1.0
创建
2009年1月
V2.0
更新
2012年4月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
2.
第1章概述
第2章
2.1目的
2.2
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebSphereWeb服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行WebSphereWeb服务器的安全配置。
2.3适用范围
2.4
本配置标准的使用者包括:
服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:
中国移动总部和各省公司信息化部门维护管理的WebSphereWeb服务器系统。
2.5适用版本
2.6
6.x版本的WebSphereWeb服务器。
2.7实施
2.8
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
2.9例外条款
2.10
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第3章帐号管理、认证授权
第4章
4.1帐号
4.2
4.2.1应用程序角色
安全基线项目名称
WebSphere应用程序角色安全基线要求项
安全基线编号
SBL-WebSphere-02-01-01
安全基线项说明
要求为应用用户定义合适的角色
检测操作步骤
以管理员身份打开管理控制台,执行:
1.点击“应用程序”-->”企业应用程序”
2.
3.双击要查看的应用程序
4.
5.点击“其它属性”中的”映射安全性角色到用户/组”
6.
基线符合性判定依据
要求安全角色映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”
备注
控制台帐号安全
安全基线项目名称
WebSphere控制台帐号安全安全基线要求项
安全基线编号
SBL-WebSphere-02-01-02
安全基线项说明
特权管理帐号在多个用户间共享,会引发很多安全问题,企业无法控制配置上的安全,不易定位安全事件责任人,同时特权帐号非法使用者还可抹去审计信息
检测操作步骤
以管理员身份打开管理控制台,执行:
1.点击“系统管理”-->”控制台设置”-->“控制台用户”
2.
3.点击要查看的用户名
4.
3.查看用户所属组
基线符合性判定依据
要求不得出现共用特权管理帐号,管理帐号必须按角色分配用户角色为monitor(监控员)、Configurator(配置员)、Operator(操作员)Administrator(管理员)之一
备注
口令管理
安全基线项目名称
WebSphere口令安全基线要求项
安全基线编号
SBL-WebSphere-02-01-03
安全基线项说明
不得在自动运行脚本、控制命令等地方出现Websphere明文口令,例如cron脚本
检测操作步骤
以root身份执行:
#ps–ef|grep–iWebSphere
#su–WebSphere_username–c“crontab–l”
#crontab-l
基线符合性判定依据
要求回显内容中不含口令字
备注
密码复杂度
安全基线项目名称
WebSphere密码复杂度安全基线要求项
安全基线编号
SBL-WebSphere-02-01-04
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测操作步骤
1、参考配置操作
查看WebSphere安装目录下的配置文件
2、补充操作说明
口令要求:
口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
基线符合性判定依据
1、判定条件
备注
4.3认证授权
4.4
控制台安全
安全基线项目名称
WebSphere控制台安全基线要求项
安全基线编号
SBL-WebSphere-02-02-01
安全基线项说明
Cosnaming服务权限设置过大会引入安全隐患
检测操作步骤
以管理员身份打开管理控制台,执行:
1.点击“环境”-->命名-->CORBA命名服务用户
2.
3.查看服务用户
4.
5.点击“环境”-->命名-->CORBA命名服务组
6.
7.查看服务组授权
8.
基线符合性判定依据
要求EVERYONE组已删除,并且ALL_AUTHENTICATED组角色仅设为”控制台命名读”
备注
全局安全性与Java2安全
安全基线项目名称
WebSphere全局安全性与Java2安全基线要求项
安全基线编号
SBL-WebSphere-02-02-02
安全基线项说明
启用全局安全性,控制登录管理控制台,同时应用程序将可以使用WebSphere的安全特性,Java2安全性在J2EE基于角色的授权之上提供访问控制保护的额外级别。
它特别处理系统资源和API的保护,不启用Java2安全性会极大减弱应用的安全强度。
检测操作步骤
1.打开管理控制台
2.
3.点击“安全性”-->”全局安全性”
4.
查看“启用全局安全性”和“强制Java2安全性”是否启用
基线符合性判定依据
要求“启用全局安全性”和“强制Java2安全性”启用
备注
第5章日志配置操作
第6章
6.1日志配置
6.2
日志与记录
安全基线项目名称
WebSphere日志记录安全基线要求项
安全基线编号
SBL-WebSphere-03-01-01
安全基线项说明
启用日志可以回溯事件进行检查或审计,日志详细信息级别如果配置不当,会缺少必要的审计信息
检测操作步骤
以管理员身份打开管理控制台,执行:
1.查看设置日志的输出属性:
在导航窗格中,单击服务器>应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面,单击日志记录和跟踪-->单击要配置的系统日志(诊断跟踪、静态更改,单击”配置”选项卡,动态更改点击”运行时”选项卡。
2.查看日志设置日志级别。
在导航窗格中,单击服务器>应用程序服务器-->单击您要使用的服务器的名称。
-->在“故障诊断”下面,单击日志记录和跟踪,查看日志详细信息级别
基线符合性判定依据
要求启用所有日志,并配置日志详细信息级别为*=info:
SecurityManager=all:
SystemOut=all
备注
第7章备份容错
第8章
8.1备份容错
安全基线项目名称
WebSphere备份容错安全基线要求项
安全基线编号
SBL-WebSphere-04-01-01
安全基线项说明
某非法操作或误操作可能导致服务器崩溃,需要对WebSphere的配置文件进行日常备份保护,保证应用系统的可用性.
检测操作步骤
访谈与实地了解针对Web应用的当前备份容错机制
基线符合性判定依据
要求备份容错机制中针对配置文件、主程序等的备份周期,介质及内容达到Web应用需求
备注
第9章设备其他配置操作
第10章
10.1安全管理
10.2
控制台超时设置
安全基线项目名称
WebSphere控制台超时设置安全基线要求项
安全基线编号
SBL-WebSphere-05-01-01
安全基线项说明
控制台会话默认30分钟timeout,要求设置不大于10分钟
检测操作步骤
1.用文本编辑器打开文件
$WAS_HOME/systemApps/adminconsole.ear/deployment.xml
查看invalidationTimeout的值
基线符合性判定依据
invalidationTimeout的值不得大于30
备注
示例程序删除
安全基线项目名称
WebSphere示例程序删除安全基线要求项
安全基线编号
SBL-WebSphere-05-01-02
安全基线项说明
sample例子程序会泄露系统敏感信息,存在较大的安全隐患
检测操作步骤
以管理员身份打开管理控制台,执行:
1.点击“应用程序”-->”企业应用程序”
基线符合性判定依据
不得存在”DefaultApplication”、“PlantsByWebSphere“、“SamplesGallery”、“ivtApp”等例子程序
备注
错误页面处理
安全基线项目名称
WebSphere错误页面安全基线要求项
安全基线编号
SBL-WebSphere-05-01-03
安全基线项说明
如果没有定义默认错误网页,则当应用程序出错时会显示内部出错信息,暴露系统和应用的敏感信息
检测操作步骤
以root身份执行:
grep-idefaultErrorPage
$WAS_HOME//config/cells//applications/
.ear/.war/WEB-INF/ibm-web-ext.xmi
基线符合性判定依据
要求defaultErrorPage=设置为定义错误页面
备注
文件访问限制
安全基线项目名称
WebSphere文件访问安全基线要求项
安全基线编号
SBL-WebSphere-05-01-04
安全基线项说明
禁止WebSphere列表显示文件
检测操作步骤
以root身份执行:
grep–ifileServingEnabled
$WAS_HOME//config/cells//applications/
.ear/.war/WEB-INF/ibm-web-ext.xmi
基线符合性判定依据
要求fileServingEnabled=”false”
备注
目录列出访问限制
安全基线项目名称
WebSphere目录列出安全基线要求项
安全基线编号
SBL-WebSphere-05-01-05
安全基线项说明
禁止WebSphere浏览、列表显示目录
检测操作步骤
以root身份执行:
grep–idirectoryBrowsingEnabled
$WAS_HOME//config/cells//applications/
.ear/.war/WEB-INF/ibm-web-ext.xmi
基线符合性判定依据
要求directoryBrowsingEnabled=”false”
备注
控制目录权限
安全基线项目名称
WebSphere控制目录权限安全基线要求项
安全基线编号
SBL-WebSphere-05-01-06
安全基线项说明
config和properties等控制目录权限不当会导致严重后果
检测操作步骤
检查config与properties目录及子目录访问权限
基线符合性判定依据
要求该目录仅能root权限可写,一般目录设置权限750
备注
补丁管理*
安全基线项目名称
WebSphere补丁管理安全基线要求项
安全基线编号
SBL-WebSphere-05-01-07
安全基线项说明
要求Websphere更新了必要的补丁
检测操作步骤
以root权限执行查看命令(包含补丁安装信息):
$WAS_HOME/bin/versioninfo.sh
$WAS_HOME/bin/historyinfo.sh
$WAS_HOME/bin/genHistoryReport.sh
$WAS_HOME/bin/genVersionReport.sh
基线符合性判定依据
要求补丁更新至最新
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
第11章评审与修订
第12章
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。
升级会员 