系统安全配置技术规范Websphere.docx
《系统安全配置技术规范Websphere.docx》由会员分享,可在线阅读,更多相关《系统安全配置技术规范Websphere.docx(13页珍藏版)》请在冰豆网上搜索。
系统安全配置技术规范Websphere
系统安全配置技术规范—Websphere
版本
V0.9
日期
2013-06-03
文档编号
文档发布
文档说明
(一)变更信息
版本号
变更日期
变更者
变更理由/变更内容
备注
(二)文档审核人
姓名
职位
签名
日期
1.适用范围
如无特殊说明,本规范所有配置项适用于IBMWebSphereApplicationServer(WAS)6.x,7.x,8.x版本。
其中标示为“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;未标示“基本”字样的配置项,请各系统管理员视实际需求酌情遵从。
2.帐号管理与授权
1
2
2.1【基本】控制台帐号安全
配置项描述
配置WebSphere控制台帐号安全,要求按权利需要分配不同用户角色,同时保证权限最小化
检查方法
以管理员身份打开管理控制台,执行:
1.点击“系统管理”-->”控制台设置”-->“控制台用户”
2.点击要查看的用户名
3.查看用户所属组
操作步骤
要求不得出现共用特权管理帐号,管理帐号必须按角色分配用户角色为monitor(监控员)、Configurator(配置员)、Operator(操作员)Administrator(管理员)之
回退操作
回退到原有的配置设置
操作风险
低风险
2.2【基本】帐号的口令安全
配置项描述
配置WebSphere口令安全,要求用户口令至少6位,包括大小写,数字和符号中的至少两种
检查方法
询问管理员是否存在如下类似的简单用户密码配置,比如:
Test、netscreen、admin、root1234
操作步骤
检查用户口令的设置情况,检查是否存在简单密码。
要求密码长度最少为6位,包含大小写字母、数字和特殊符号,密码变更周期。
回退操作
回退到原有的配置设置
操作风险
低风险
2.3【基本】为应用用户定义合适的角色
配置项描述
为应用用户定义合适的角色,根据用户的需求,为用户分配不同的权限
检查方法
以管理员身份打开管理控制台,执行:
1.点击“应用程序”-->”企业应用程序”
2.双击要查看的应用程序
3.点击“其它属性”中的”映射安全性角色到用户/组”
操作步骤
要求安全角色映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”
以管理员身份打开管理控制台,执行:
1.点击“应用程序”-->”企业应用程序”
2.双击要查看的应用程序
3.点击“其它属性”中的”映射安全性角色到用户/组”,编辑用户角色
回退操作
回退到原有的配置设置
操作风险
需要确认应用程序用户角色
2.4【基本】控制台安全
配置项描述
设置WebSphere控制台安全,要求EVERYONE组已删除,并且ALL_AUTHENTICATED组角色仅设为”控制台命名读”
检查方法
以管理员身份打开管理控制台,执行:
1.点击“环境”-->命名-->CORBA命名服务用户
2.查看服务用户
3.点击“环境”-->命名-->CORBA命名服务组
4.查看服务组授权
操作步骤
以管理员身份打开管理控制台,执行:
1.点击“环境”-->命名-->CORBA命名服务用户
2.编辑服务用户
3.点击“环境”-->命名-->CORBA命名服务组
4.编辑服务组授权
回退操作
回退到原有的配置设置
操作风险
低风险
2.5【基本】全局安全性与Java2安全
配置项描述
Java2安全性在J2EE基于角色的授权之上提供访问控制保护的额外级别。
它特别处理系统资源和API的保护,不启用Java2安全性会极大减弱应用的安全强度。
检查方法
1.打开管理控制台
2.点击“安全性”-->”全局安全性”
查看“启用全局安全性”和“强制Java2安全性”是否启用
操作步骤
1.打开管理控制台
2.点击“安全性”-->”全局安全性”
3.勾选“启用全局安全性”和“强制Java2安全性”
回退操作
回退到原有的配置设置
操作风险
低风险
3.日志配置要求
3
3.1【基本】开启应用日志记录
配置项描述
开启WebSphere日志记录,对设备运行状况、网络流量、用户行为等进行日志记录
检查方法
以管理员身份打开管理控制台,执行:
1.查看设置日志的输出属性:
在导航窗格中,单击服务器>应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面,单击日志记录和跟踪-->单击要配置的系统日志(诊断跟踪、静态更改,单击”配置”选项卡,动态更改点击”运行时”选项卡。
2.查看日志设置日志级别。
在导航窗格中,单击服务器>应用程序服务器-->单击您要使用的服务器的名称。
-->在“故障诊断”下面,单击日志记录和跟踪,查看日志详细信息级别。
操作步骤
要求启用所有日志,并配置日志详细信息级别为*=info:
SecurityManager=all:
SystemOut=all
回退操作
回退到原有的配置设置
操作风险
占用一定磁盘空间
4.服务配置要求
4
4.1【基本】禁止列表显示文件
配置项描述
WebSphere文件访问,禁止WebSphere列表显示文件
检查方法
查看fileServingEnabled参数设置文件
该文件位于WAR文件下的WEB-INF扩展中的ibm-web-ext.xmi文件中
$WAS_HOME//config/cells//applications/
.ear/.war/WEB-INF/ibm-web-ext.xmi
操作步骤
修改fileServingEnabled参数设置为false
该文件位于WAR文件下的WEB-INF扩展中的ibm-web-ext.xmi文件中
$WAS_HOME//config/cells//applications/
.ear/.war/WEB-INF/ibm-web-ext.xmi
要求fileServingEnabled=”false”
回退操作
修改fileServingEnabled参数设置为原有参数
该文件位于WAR文件下的WEB-INF扩展中的ibm-web-ext.xmi文件中
$WAS_HOME//config/cells//applications/
.ear/.war/WEB-INF/ibm-web-ext.xmi
要求fileServingEnabled=原有参数
操作风险
低风险
4.2【基本】禁止浏览列表显示目录
配置项描述
WebSphere目录列出,禁止WebSphere浏览、列表显示目录
检查方法
Linux下:
以root身份执行:
grep–idirectoryBrowsingEnabled
$WAS_HOME//config/cells//applications/
.ear/.war/WEB-INF/ibm-web-ext.xmi
Windows下:
安装路径:
\AppServer\profiles\BBS\config\cells\\applications\.ear\_war\.war\WEB-INF\ibm-web-ext.xmi
操作步骤
要求directoryBrowsingEnabled=”false”
回退操作
directoryBrowsingEnabled=原有参数
操作风险
低风险
4.3【基本】删除示例程序
配置项描述
WebSphere示例程序删除,防止攻击者利用默认的实例程序,威胁系统安全
检查方法
以管理员身份打开管理控制台,执行:
1.点击“应用程序”-->”企业应用程序”
操作步骤
删除”DefaultApplication”、“PlantsByWebSphere“、“SamplesGallery”、“ivtApp”等例子程序
回退操作
无
操作风险
需确认例子程序是否有用途
4.4【基本】控制台超时设置
配置项描述
WebSphere控制台超时设置
检查方法
1.用文本编辑器打开文件
$WAS_HOME/systemApps/adminconsole.ear/deployment.xml
查看invalidationTimeout的值
操作步骤
invalidationTimeout的值不得大于10
回退操作
回退到原有的配置设置
操作风险
低风险
4.5【基本】更新WebSphere补丁
配置项描述
及时更新WebSphere补丁,修复系统漏洞,提高系统稳定性
检查方法
●Linux下:
以root权限执行查看命令(包含补丁安装信息):
$WAS_HOME/bin/versioninfo.sh
$WAS_HOME/bin/historyinfo.sh
$WAS_HOME/bin/genHistoryReport.sh
$WAS_HOME/bin/genVersionReport.sh
●Windows下:
查看文件c:
\WebSphere\AppServer\properties\com\ibm\websphere\product.xml,确定版本信息
操作步骤
要求Websphere更新了必要的补丁,要求补丁更新至最新
回退操作
回退版本
操作风险
未经测试的补丁可能导致系统不可用
4.6【基本】备份容错
配置项描述
开启WebSphere备份容错功能
检查方法
访谈与实地了解针对Web应用的当前备份容错机制
操作步骤
要求备份容错机制中针对配置文件、主程序等的备份周期,介质及内容达到Web应用需求
回退操作
回退到原有的配置设置
操作风险
低风险
4.7设置错误页面
配置项描述
将WebSphere错误页面指向自定义页面
检查方法
●Linux下:
以root身份执行:
grep-idefaultErrorPage
$WAS_HOME//config/cells//applications/
.ear/.war/WEB-INF/ibm-web-ext.xmi
●Windows下:
安装路径/IBMHTTPServer/conf/httpd.conf,检查500、404、402等错误页面配置
操作步骤
要求将配置文件中defaultErrorPage=设置为定义错误页面
回退操作
恢复默认配置
操作风险
系统通常会限制错误页面大小,超过一定大小的错误页面无法正常显示
4.8配置SSL访问
配置项描述
配置SSL协议,确保敏感数据的传输安全
检查方法
●Linux下:
netstat–an|grep443
●Windows下:
netstat-aon|findstr"443"
查看443端口是否被占用
操作步骤
创建证书
1.从IBMHTTPServer6.0打开“密钥管理实用程序”
2.在菜单栏单击“密钥管理实用程序”点击新建,创建“密钥数据库文件
3.选择CMS类型,文件名wcmkey.kdb,位置选在IBMIHS安装目录的etc目录下,点击确定,出现输入密码界面
4.填好密码、到期时间和密码存储方式后,点击确定,然后点击“创建”菜单,选择“创建自签署证书”
5.填好证书资料后,点击确定,创建自签署证书成功了。
下面将证书导出为p12格式的证书文件
6.输入证书密码后,导出证书就成功了,这样客户机访问的时候,直接将证书导入或安装就可以了
配置IBMIHS的配置文件httpd.conf
添加如下配置代码
LoadModuledeflate_modulemodules/mod_deflate.so
#AddOutputFilterByTypeDEFLATEtext/htmltext/plaintext/xml
Listen218.73.64.129:
80
Listen218.73.64.134:
443
Alias/webpic"F:
/trswcm/webpic.ear/webpic.war"
Alias/pub"F:
/trswcm/pub.ear/pub.war"
Alias/template"F:
/trswcm/template.ear/template.war"
AddTypetext/html.htm
AddHandlerserver-parsed.htm
AddTypetext/html.asp
AddHandlerserver-parsed.asp
80>
DocumentRoot"F:
/trswcm/pub.ear/pub.war"
DirectoryIndexindex.htmlindex.html.var
443>
DocumentRoot"F:
/trswcm/pub.ear/pub.war"
DirectoryIndexindex.htmlindex.html.var
LoadModuleibm_ssl_modulemodules/mod_ibm_ssl.so #加载SSL模块
SSLEnable #SSL模块生效
Keyfile"D:
/ProgramFiles/IBMHTTPServer/etc/wcmkey.kdb" #定义密钥数据库文件路径
SSLClientAuthrequired
在Websphere控制台中添加443端口
1.打开WebSphere管理控制台,在左侧菜单栏中依次选择:
环境>>虚拟主机
2.点击default_host>>其他属性>>主机别名>>新建
3.主机名“*”,端口号:
443(即HTTPS端口),点击确定,保存主配置更改,重新启动IBMIHS和WebSphere后,即开启SSL服务
回退操作
恢复默认配置
操作风险
低风险
4.9控制目录权限
配置项描述
定义控制目录权限,保证管理员拥有对目录的完全控制权
检查方法
检查config与properties目录及子目录访问权限
操作步骤
●Linux下
要求该目录仅能root权限可写,一般目录设置权限750
●Windows下:
右键文件夹,属性->安全->编辑,修改各用户权限,仅保证管理员账户拥有读写权限,其他无关用户,根据需求分配相关权限
回退操作
恢复目录访问权限的默认配置
操作风险
config和properties等控制目录权限不当会导致严重后果
5.操作系统配置要求
操作系统的服务配置应符合操作系统配置规范,详细配置请参照《系统安全配置技术规范-Windows》或《系统安全配置技术规范-Linux》执行。
升级会员 