JBOSS服务器安全配置基线.docx

1、JBOSS服务器安全配置基线JBOSS服务器安全配置基线中国移动通信有限公司 管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。第1章 概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Jboss服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Jboss服务器的安全配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的Jboss

2、 服务器系统。1.3 适用版本4.x版本的Jboss服务器。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章 帐号管理、认证授权2.1 帐号2.1.1 jmx-console 登录的用户名和密码管理安全基线项目名称jmx-console 登录的用户名和密码管理安全基线编号SBL-Jboss-02-01-01 安全基线项说明 默认情况访问 http:/ip:po

3、rt/jmx-console 需要输入用户名和密码。设置用户名密码限制帐号,提高安全性。检测操作步骤1、参考配置操作（1）修改Jboss目录下$jboss/server/$server/deploy/jmx-console.war/WEB-INF/jboss-web.xml，去掉节点的注释修改jboss-web.xml同级目录下的web.xml文件，去掉节点的注释，在这里可以看到为登录配置了角色JBossAdmin （2）jmx-console的安全域和运行角色JBossAdmin都是在login-config.xml中配置，在Jboss的安装目录$jboss/server/$server/c

4、onfig下找到。在login-config.xml中查找jmx-console的application-policy可以看到登录的角色、用户等信息分别在$jboss/server/$server/config/props的jmx-console-roles.properties和jmx-console-users.properties文件中配置2、补充操作说明（1） jmx-console-users.properties文件中定义了一个用户名为admin，的用户。（2）jmx-console-roles.properties文件中默认为admin用户，定义了JBossAdmin和HttpI

5、nvoker这两个角色。基线符合性判定依据1、检测操作登陆http:/ip:port/jmx-console 不能正常访问2、补充操作判定条件输入jmx-console-users.properties文件中定义的用户名和密码登陆正常备注web-console 登录的用户名和密码管理安全基线项目名称web-console 登录的用户名和密码管理安全基线要求项安全基线编号SBL-Jboss-02-01-02 安全基线项说明 不需要输入用户名和密码存在安全隐患。设置用户名密码限制帐号。检测操作步骤1、参考配置操作修改Jboss目录下$jboss/server/$server/deploy/mana

6、gement/console-mgr.sar/web-console.war/WEB-INF下jboss-web.xml文件，去掉节点的注释。修改中jboss-web.xml同目录下的web.xml文件，去掉节点的部分注释进行修改，修改的内容如下：修改server/default/conf下的login-config.xml文件2、补充操作说明1、web-console-users.properties文件中默认定义了一个用户名为admin，密码也为admin的用户。2、web-console-roles.properties文件中默认为admin用户定义了JBossAdmin和HttpInv

7、oker这两个角色。基线符合性判定依据1、检测操作登陆 http:/ip:port/web-console/ 不能访问页面2、补充操作判定条件输入web-console-users.properties文件中定义的用户名和密码登陆正常备注2.2 口令密码复杂度安全基线项目名称Jboss密码复杂度安全基线要求项安全基线编号SBL-Jboss-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作1. 在$jboss/serve

8、r/$server/deploy/oracle-ds.xml配置文件中设置oracle密码机密EncryptDBPassword2. 在$jboss/server/$server/conf/login-config.xml配置文件中设置JNDI加密 -testDataSource 是连接池的名称 apps - 用户名 3fb2b2b29f74131a -加密后的密码 jboss.jca:service=LocalTxCM,name=testDataSource 2、补充操作说明口令要求：长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。基线符合性判定依据1、判定条件检查$j

9、boss/server/$server/conf/login-config.xml配置文件中的帐号口令是否符合移动通过配置口令复杂度要求。2、检测操作（1）人工检查配置文件中帐号口令是否符合；备注密码生存期*安全基线项目名称Jboss密码生存期安全基线要求项安全基线编号SBL-Jboss-02-02-02 安全基线项说明 对于采用静态口令认证技术的设备，应支持按天配置口令生存期功能，帐号口令的生存期不长于90天。检测操作步骤1、参考配置操作定期对管理Jbosss Web、JMX 服务器的帐号口令进行修改，间隔不长于90天。基线符合性判定依据1、判定条件90天后使用原帐号口令进行登陆尝试，登录不

10、成功；2、检测操作使用超过90天的帐号口令进行登录尝试；备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。适用于4.x、5.x、6.x所有版本。2.3 授权用户权利指派*安全基线项目名称Jboss用户权利指派安全基线要求项安全基线编号SBL-Jboss-02-03-01 安全基线项说明 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。检测操作步骤1、参考配置操作编辑/server/default/config/login-config.xml配置文件，修改用户角色权限 props/jmx-console-users.properties props/jmx-con

11、sole-roles.properties 2、补充操作说明jmx-console角色浏览jboss的部署管理信息。Web-console角色进行监控基线符合性判定依据1、判定条件输入web-console-users.properties文件中定义的用户名和密码登陆正常输入jmx-console-users.properties文件中定义的用户名和密码登陆正常2、检测操作登陆 http:/ip:port/web-console/ 访问页面正常登陆 http:/ip:port/jmx-console/ 访问页面正常备注第3章 日志配置操作3.1 日志配置审核登录安全基线项目名称Jboss审核登

12、录安全基线要求项安全基线编号SBL-Jboss-03-01-01 安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，使用的IP地址。检测操作步骤1、参考配置操作编辑$jboss/server/$server/conf/ log4j.xml配置文件， 2、补充操作说明Threshold是个全局的过滤器，它将把低于所设置的level的信息过滤不显示出来 优先级由高到低分为OFF ,FATAL ,ERROR ,WARN ,INFO ,DEBUG ,ALL参数都以%开始后面不同的参数代表不同的格式化信息（参数按字母表顺序列出）： %c 输出

13、所属类的全名，可在修改为 %dNum ,Num类名输出的围% 输出日志时间其格式为 %dyyyy-MM-dd HH:mm:ss,SSS，可指定格式 如 %dHH:mm:ss%l 输出日志事件发生位置，包括类目名、发生线程，在代码中的行数%换行符%m 输出代码指定信息，如info(“message”),输出message %p 输出优先级，即 FATAL ,ERROR 等%r 输出从启动到显示该log信息所耗费的毫秒数 %t 输出产生该日志事件的线程名基线符合性判定依据1、判定条件查看logs目录中相关日志文件内容，记录完整2、检测操作查看server.log中相关日志记录3、补充说明备注第4章

14、 IP协议安全配置4.1 IP协议支持加密协议安全基线项目名称Jboss支持加密协议安全基线要求项安全基线编号SBL-Jboss-04-01-01 安全基线项说明 对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。检测操作步骤1、参考配置操作(1)使用JDK自带的keytool工具生成一个证书JAVA_HOME/bin/keytool -genkey alias tomcat keyalg RSA-keystore /path/to/my/keystore(2)修改$jboss/server/$server/deploy/jbossweb-tomcat55.sar/c

15、onf/server.xml配置文件，更改为使用https方式，增加如下行：Connector classname=”org.apache.catalina.http.HttpConnector” port=”8443” minProcessors=”5” maxprocessors=”100” enableLookups=”true” acceptCount=”10” debug=”0”scheme=”https” secure=”true” Factory classname=”org.apache.catalina.SSLServerSocketFactory”clientAuth=”f

16、alse” keystoreFile=”/path/to/my/keystore” keystorePass=”runway”protocol=”TLS”/Connector其中keystorePass的值为生成keystore时输入的密码(3)重新启动Jboss服务基线符合性判定依据1、判定条件使用https方式登陆Jboss服务器页面，登陆成功2、检测操作使用https方式登陆Jboss服务器管理页面备注第5章 设备其他配置操作5.1 安全管理定时登出安全基线项目名称Jboss定时登出安全基线要求项安全基线编号SBL-Jboss-05-01-01 安全基线项说明 对于具备字符交互界面的设备

17、，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置操作编辑$jboss/server/$server/deploy/jbossweb-tomat55.sar/server.xml配置文件，修改为2000秒 基线符合性判定依据1、判定条件30 分自动登出。 2、检测操作登陆jboss默认页面 ，使用管理帐号登陆3、补充说明备注更改默认端口*安全基线项目名称Jboss运行端口安全基线要求项安全基线编号SBL-Jboss-05-01-02 安全基线项说明 更改tomcat服务器默认端口检测操作步骤1、参考配置操作（1）修改$jboss/server/$server/

18、deploy/jbossweb-tomat55.sar/server.xml配置文件，更改默认管理端口到8100 （2）重启JBOSS服务 2、补充操作说明Jboss默认端口是8080,通常占用的端口是1098，1099，4444，4445，8080，8009，8083，8093在windows系统中： 1098、1099、4444、4445、8083端口在/server/ehr_jsprd /conf/jboss-service.xml中8080端口在/server/ ehr_jsprd /deploy/jboss-web.deployer/server.xml中8093端口在/server

19、/ ehr_jsprd /deploy/jms/uil2-service.xml中。基线符合性判定依据1、判定条件使用8100端口登陆页面成功2、检测操作登陆http:/ip:port/ 备注错误页面处理安全基线项目名称Jboss错误页面安全基线要求项安全基线编号SBL-Jboss-05-01-03 安全基线项说明 Jboss错误页面重定向检测操作步骤1、 参考配置操作(1)查看$jboss/server/$serverdeploy/jbossweb-tomcat55.sar/conf文件: index.html index.htm index.jsp基线符合性判定依据1、 判定条件备注目录列表访问限制安全基线项目名称Jboss目录列表安全基线要求项安全基线编号SBL-Jboss-05-01-04 安全基线项说明 禁止Jboss列表显示文件检测操作步骤1、参考配置操作(1) 编辑deploy/jbossweb-tomcat55.sar/conf 配置文件， listingstrue把true改成false (2)重新启动Jboss服务基线符合性判定依据1、判定条件当WEB目录中没有默认首页如index.html,index.jsp等文件时，不会列出目录内容2、检测操作备注第6章 评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。