WebSphere Web服务器安全配置基线.docx

1、WebSphere Web服务器安全配置基线WebSphere Web服务器安全配置基线中国移动通信有限公司 管理信息系统部2009年 03月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录第1章 概述 11.1 目的 11.2 适用范围 11.3 适用版本 11.4 实施 11.5 例外条款 1第2章 账号管理、认证授权 22.1 帐号 22.1.1 应用程序角色 22.1.2 控制台帐号安全 22.1.3 口令管理 32.2 认证授权 32.2.1 控制台安全 32.2.2 全局安全性与J

2、ava2安全 4第3章 日志配置操作 53.1 日志配置 53.1.1 日志与记录 5第4章 备份容错 54.1 备份容错 5第5章 设备其他配置操作 75.1 安全管理 75.1.1 控制台超时设置 75.1.2 示例程序删除 75.1.3 错误页面处理 85.1.4 文件访问限制 85.1.5 目录列出访问限制 85.1.6 控制目录权限 95.1.7 补丁管理 95.1.8 变更管理 10第6章 评审与修订 10概述目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebSphere Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebSphere W

3、eb服务器的安全配置。适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的WebSphere Web服务器系统。适用版本6.x版本的WebSphere Web服务器。实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。账号管理、认证授权帐号应用程序角色安全基线项目名称WebSphere应用程序

4、角色安全基线要求项安全基线编号SBL-WebSphere-02-01-01 安全基线项说明 要求为应用用户定义合适的角色检测操作步骤以管理员身份打开管理控制台,执行：1. 点击“应用程序”-”企业应用程序”2. 双击要查看的应用程序3. 点击“其它属性”中的”映射安全性角色到用户/组”基线符合性判定依据要求安全角色映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”备注控制台帐号安全安全基线项目名称WebSphere控制台帐号安全安全基线要求项安全基线编号SBL-WebSphere-02-01-02 安全基线项说明 特权管理帐号在多个用户间共享，会引发很多安全问题，企业无法

5、控制配置上的安全，不易定位安全事件责任人,同时特权帐号非法使用者还可抹去审计信息检测操作步骤以管理员身份打开管理控制台,执行：1. 点击“系统管理”-”控制台设置”-“控制台用户”2. 点击要查看的用户名3. 查看用户所属组基线符合性判定依据要求不得出现共用特权管理帐号，管理帐号必须按角色分配用户角色为monitor（监控员）、Configurator(配置员)、Operator（操作员）Administrator(管理员)之一备注口令管理安全基线项目名称WebSphere口令安全基线要求项安全基线编号SBL-WebSphere-02-01-03 安全基线项说明 不得在自动运行脚本、控制命令等

6、地方出现Websphere明文口令，例如cron脚本检测操作步骤以root身份执行：#ps ef|grep i WebSphere#su WebSphere_username c “crontab l”#crontab -l基线符合性判定依据要求回显内容中不含口令字备注认证授权控制台安全安全基线项目名称WebSphere控制台安全基线要求项安全基线编号SBL-WebSphere-02-02-01 安全基线项说明 Cosnaming服务权限设置过大会引入安全隐患检测操作步骤以管理员身份打开管理控制台,执行：1. 点击“环境”-命名-CORBA 命名服务用户2. 查看服务用户3. 点击“环境”-命

7、名-CORBA 命名服务组4. 查看服务组授权基线符合性判定依据要求EVERYONE组已删除，并且ALL_AUTHENTICATED组角色仅设为”控制台命名读”备注全局安全性与Java2安全安全基线项目名称WebSphere全局安全性与Java2安全基线要求项安全基线编号SBL-WebSphere-02-02-02 安全基线项说明 启用全局安全性，控制登录管理控制台，同时应用程序将可以使用WebSphere的安全特性,Java 2安全性在 J2EE 基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和 API 的保护，不启用Java2 安全性会极大减弱应用的安全强度。检测操作步骤

8、1. 打开管理控制台2. 点击“安全性”-”全局安全性”查看“启用全局安全性”和“强制Java 2安全性”是否启用基线符合性判定依据要求“启用全局安全性”和“强制Java 2安全性”启用备注日志配置操作日志配置日志与记录安全基线项目名称WebSphere日志记录安全基线要求项安全基线编号SBL-WebSphere-03-01-01 安全基线项说明 启用日志可以回溯事件进行检查或审计，日志详细信息级别如果配置不当，会缺少必要的审计信息检测操作步骤以管理员身份打开管理控制台,执行：1. 查看设置日志的输出属性： 在导航窗格中，单击服务器 应用程序服务器-单击您要使用的服务器的名称-在“故障诊断”下

9、面，单击日志记录和跟踪-单击要配置的系统日志（诊断跟踪、静态更改，单击”配置”选项卡,动态更改点击”运行时”选项卡。 2. 查看日志设置日志级别。 在导航窗格中，单击服务器 应用程序服务器-单击您要使用的服务器的名称。 -在“故障诊断”下面，单击日志记录和跟踪,查看日志详细信息级别基线符合性判定依据要求启用所有日志，并配置日志详细信息级别为*=info: SecurityManager=all: SystemOut=all备注备份容错备份容错安全基线项目名称WebSphere备份容错安全基线要求项安全基线编号SBL-WebSphere-04-01-01 安全基线项说明 某非法操作或误操作可能导

10、致服务器崩溃，需要对WebSphere的配置文件进行日常备份保护，保证应用系统的可用性.检测操作步骤访谈与实地了解针对Web应用的当前备份容错机制基线符合性判定依据要求备份容错机制中针对配置文件、主程序等的备份周期，介质及内容达到Web应用需求备注设备其他配置操作安全管理控制台超时设置安全基线项目名称WebSphere控制台超时设置安全基线要求项安全基线编号SBL-WebSphere-05-01-01 安全基线项说明 控制台会话默认30分钟timeout,要求设置不大于10分钟检测操作步骤1.用文本编辑器打开文件$WAS_HOME/systemApps/adminconsole.ear/dep

11、loyment.xml查看invalidationTimeout的值基线符合性判定依据invalidationTimeout的值不得大于30备注示例程序删除安全基线项目名称WebSphere示例程序删除安全基线要求项安全基线编号SBL-WebSphere-05-01-02 安全基线项说明 sample例子程序会泄露系统敏感信息，存在较大的安全隐患检测操作步骤以管理员身份打开管理控制台,执行：1. 点击“应用程序”-”企业应用程序”基线符合性判定依据不得存在” DefaultApplication”、 “PlantsByWebSphere “、 “SamplesGallery”、“ivtApp”

12、等例子程序 备注错误页面处理安全基线项目名称WebSphere错误页面安全基线要求项安全基线编号SBL-WebSphere-05-01-03 安全基线项说明 如果没有定义默认错误网页，则当应用程序出错时会显示内部出错信息,暴露系统和应用的敏感信息检测操作步骤以root身份执行:grep -i defaultErrorPage$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmi基线符合性判定依据要求defaultErrorPage=设置为定义错误页面备注文件访问限制安全基线项目名称WebSphere文件访问安全

13、基线要求项安全基线编号SBL-WebSphere-05-01-04 安全基线项说明 禁止WebSphere列表显示文件检测操作步骤以root身份执行：grep i fileServingEnabled$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmi基线符合性判定依据要求fileServingEnabled=”false”备注目录列出访问限制安全基线项目名称WebSphere目录列出安全基线要求项安全基线编号SBL-WebSphere-05-01-05 安全基线项说明 禁止WebSphere浏览、列表显示目

14、录检测操作步骤以root身份执行：grep i directoryBrowsingEnabled$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmi基线符合性判定依据要求directoryBrowsingEnabled=”false”备注控制目录权限安全基线项目名称WebSphere控制目录权限安全基线要求项安全基线编号SBL-WebSphere-05-01-06 安全基线项说明 config和properties等控制目录权限不当会导致严重后果检测操作步骤检查config与properties目录及子目录访

15、问权限基线符合性判定依据要求该目录仅能root权限可写，一般目录设置权限750备注补丁管理安全基线项目名称WebSphere补丁管理安全基线要求项安全基线编号SBL-WebSphere-05-01-07 安全基线项说明 要求Websphere更新了必要的补丁检测操作步骤以root权限执行查看命令(包含补丁安装信息)：$WAS_HOME/bin/versioninfo.sh $WAS_HOME/bin/historyinfo.sh $WAS_HOME/bin/genHistoryReport.sh$WAS_HOME/bin /genVersionReport.sh基线符合性判定依据要求补丁更新至最新备注变更管理安全基线项目名称WebSphere变更管理安全基线要求项安全基线编号SBL-WebSphere-05-01-08 安全基线项说明 要求Websphere的配置变更，升级有必要的申请、审批、备案等流程检测操作步骤访谈管理员并检查过去的流程文件记录基线符合性判定依据要求有规范的配置变更流程并严格执行备注评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。