系统安全配置技术规范-Websphere.doc

系统安全配置技术规范—Websphere 版本 V0。9 日期 2013—06—03 文档编号 文档发布 文档说明 （一）变更信息 版本号 变更日期 变更者 变更理由/变更内容 备注 （二)文档审核人 姓名 职位 签名 日期 目 录 1. 适用范围 4 2。 帐号管理与授权 4 2。1 【基本】控制台帐号安全 4 2。2 【基本】帐号的口令安全 4 2.3 【基本】为应用用户定义合适的角色 5 2.4 【基本】控制台安全 5 2.5 【基本】全局安全性与Java2安全 6 3. 日志配置要求 6 3。1 【基本】开启应用日志记录 6 4。 服务配置要求 7 4。1 【基本】禁止列表显示文件 7 4。2 【基本】禁止浏览列表显示目录 7 4。3 【基本】删除示例程序 8 4。4 【基本】控制台超时设置 8 4。5 【基本】更新WebSphere补丁 8 4.6 【基本】备份容错 9 4.7 设置错误页面 9 4。8 配置SSL访问 9 4。9 控制目录权限 11 5. 操作系统配置要求 11 1. 适用范围 如无特殊说明,本规范所有配置项适用于IBM WebSphere Application Server (WAS) 6.x,7。x，8.x版本。其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求;未标示“基本”字样的配置项，请各系统管理员视实际需求酌情遵从. 2. 帐号管理与授权 1.1 【基本】控制台帐号安全 配置项描述 配置WebSphere控制台帐号安全，要求按权利需要分配不同用户角色，同时保证权限最小化 检查方法 以管理员身份打开管理控制台，执行： 1. 点击“系统管理”——>"控制台设置"——>“控制台用户” 2. 点击要查看的用户名 3. 查看用户所属组 操作步骤 要求不得出现共用特权管理帐号，管理帐号必须按角色分配用户角色为monitor（监控员）、Configurator（配置员）、Operator（操作员）Administrator(管理员）之 回退操作 回退到原有的配置设置 操作风险 低风险 1.2 【基本】帐号的口令安全 配置项描述 配置WebSphere口令安全,要求用户口令至少6位,包括大小写，数字和符号中的至少两种 检查方法 询问管理员是否存在如下类似的简单用户密码配置，比如： Test、netscreen、admin、root1234 操作步骤 检查用户口令的设置情况，检查是否存在简单密码.要求密码长度最少为6位，包含大小写字母、数字和特殊符号，密码变更周期。 回退操作 回退到原有的配置设置 操作风险 低风险 1.3 【基本】为应用用户定义合适的角色 配置项描述 为应用用户定义合适的角色，根据用户的需求,为用户分配不同的权限 检查方法 以管理员身份打开管理控制台，执行： 1. 点击“应用程序”——>"企业应用程序” 2. 双击要查看的应用程序 3. 点击“其它属性”中的"映射安全性角色到用户/组” 操作步骤 要求安全角色映射到“每个用户“、“所有已认证用户"、“已映射的用户"、“已映射的组” 以管理员身份打开管理控制台,执行： 1. 点击“应用程序"-—〉”企业应用程序” 2. 双击要查看的应用程序 3. 点击“其它属性”中的”映射安全性角色到用户/组”，编辑用户角色 回退操作 回退到原有的配置设置 操作风险 需要确认应用程序用户角色 1.4 【基本】控制台安全 配置项描述 设置WebSphere控制台安全，要求EVERYONE组已删除，并且ALL_AUTHENTICATED组角色仅设为”控制台命名读” 检查方法 以管理员身份打开管理控制台，执行： 1. 点击“环境”——〉命名-->CORBA 命名服务用户 2. 查看服务用户 3. 点击“环境"——〉命名--〉CORBA 命名服务组 4. 查看服务组授权 操作步骤 以管理员身份打开管理控制台,执行: 1. 点击“环境”-—>命名—-〉CORBA 命名服务用户 2. 编辑服务用户 3. 点击“环境”-—>命名——〉CORBA 命名服务组 4. 编辑服务组授权 回退操作 回退到原有的配置设置 操作风险 低风险 1.5 【基本】全局安全性与Java2安全 配置项描述 Java 2安全性在 J2EE 基于角色的授权之上提供访问控制保护的额外级别.它特别处理系统资源和 API 的保护，不启用Java2 安全性会极大减弱应用的安全强度. 检查方法 1. 打开管理控制台 2. 点击“安全性”-—>”全局安全性” 查看“启用全局安全性”和“强制Java 2安全性”是否启用 操作步骤 1. 打开管理控制台 2. 点击“安全性”——〉”全局安全性” 3. 勾选“启用全局安全性”和“强制Java 2安全性” 回退操作 回退到原有的配置设置 操作风险 低风险 3. 日志配置要求 1.6 【基本】开启应用日志记录 配置项描述 开启WebSphere日志记录,对设备运行状况、网络流量、用户行为等进行日志记录 检查方法 以管理员身份打开管理控制台，执行： 1。 查看设置日志的输出属性： 在导航窗格中，单击服务器 > 应用程序服务器--〉单击您要使用的服务器的名称—-〉在“故障诊断”下面，单击日志记录和跟踪—->单击要配置的系统日志（诊断跟踪、静态更改，单击”配置”选项卡,动态更改点击"运行时"选项卡。 2. 查看日志设置日志级别。 在导航窗格中，单击服务器 > 应用程序服务器—->单击您要使用的服务器的名称。 --〉在“故障诊断”下面，单击日志记录和跟踪，查看日志详细信息级别。 操作步骤 要求启用所有日志，并配置日志详细信息级别为*=info: SecurityManager=all: SystemOut=all 回退操作 回退到原有的配置设置 操作风险 占用一定磁盘空间 4. 服务配置要求 1.7 【基本】禁止列表显示文件 配置项描述 WebSphere文件访问，禁止WebSphere列表显示文件 检查方法 查看fileServingEnabled参数设置文件 该文件位于 WAR 文件下的 WEB-INF 扩展中的 ibm—web-ext。xmi 文件中 ＄WAS_HOME/<profilepath〉/config/cells/〈hostname〉/applications/ 〈yourapplication〉。ear/〈yourapplication>.war/WEB-INF/ibm—web-ext.xmi 操作步骤 修改fileServingEnabled参数设置为false 该文件位于 WAR 文件下的 WEB—INF 扩展中的 ibm—web-ext.xmi 文件中 $WAS_HOME/<profilepath〉/config/cells/〈hostname>/applications/ <yourapplication〉。ear/<yourapplication>.war/WEB—INF/ibm-web—ext。xmi 要求fileServingEnabled=”false” 回退操作 修改fileServingEnabled参数设置为原有参数 该文件位于 WAR 文件下的 WEB-INF 扩展中的 ibm—web-ext.xmi 文件中 ＄WAS_HOME/〈profilepath>/config/cells/<hostname〉/applications/ <yourapplication〉。ear/〈yourapplication〉。war/WEB-INF/ibm—web—ext。xmi 要求fileServingEnabled=原有参数 操作风险 低风险 1.8 【基本】禁止浏览列表显示目录 配置项描述 WebSphere目录列出，禁止WebSphere浏览、列表显示目录 检查方法 Linux下: 以root身份执行： grep –i directoryBrowsingEnabled $WAS_HOME/<profilepath>/config/cells/〈hostname〉/applications/ 〈yourapplication〉.ear/〈yourapplication〉.war/WEB—INF/ibm-web-ext.xmi Windows下： 安装路径： \AppServer\profiles\BBS\config\cells\<hostname〉\applications\〈yourapplication>.ear\<yourapplication〉_war\<yourapplication〉.war\WEB—INF\ibm-web—ext.xmi 操作步骤 要求directoryBrowsingEnabled=”false" 回退操作 directoryBrowsingEnabled=原有参数 操作风险 低风险 1.9 【基本】删除示例程序 配置项描述 WebSphere示例程序删除，防止攻击者利用默认的实例程序，威胁系统安全 检查方法 以管理员身份打开管理控制台,执行： 1. 点击“应用程序"-—>”企业应用程序” 操作步骤 删除” DefaultApplication”、 “PlantsByWebSphere “、 “SamplesGallery”、“ivtApp”等例子程序 回退操作 无 操作风险 需确认例子程序是否有用途 1.10 【基本】控制台超时设置 配置项描述 WebSphere控制台超时设置 检查方法 1。用文本编辑器打开文件 ＄WAS_HOME/systemApps/adminconsole。ear/deployment.xml 查看invalidationTimeout的值 操作步骤 invalidationTimeout的值不得大于10 回退操作 回退到原有的配置设置 操作风险 低风险 1.11 【基本】更新WebSphere补丁 配置项描述 及时更新WebSphere补丁，修复系统漏洞，提高系统稳定性 检查方法 l Linux下： 以root权限执行查看命令（包含补丁安装信息): ＄WAS_HOME/bin/versioninfo。sh ＄WAS_HOME/bin/historyinfo。sh $WAS_HOME/bin/genHistoryReport。sh ＄WAS_HOME/bin /genVersionReport。sh l Windows下： 查看文件c：\WebSphere\AppServer\properties\com\ibm\websphere\product。xml，确定版本信息 操作步骤 要求Websphere更新了必要的补丁，要求补丁更新至最新 回退操作 回退版本 操作风险 未经测试的补丁可能导致系统不可用 1.12 【基本】备份容错 配置项描述 开启WebSphere备份容错功能 检查方法 访谈与实地了解针对Web应用的当前备份容错机制 操作步骤 要求备份容错机制中针对配置文件、主程序等的备份周期,介质及内容达到Web应用需求 回退操作 回退到原有的配置设置 操作风险 低风险 1.13 设置错误页面 配置项描述 将WebSphere错误页面指向自定义页面 检查方法 l Linux下： 以root身份执行： grep —i defaultErrorPage $WAS_HOME/<profilepath〉/config/cells/<hostname>/applications/ 〈yourapplication〉.ear/<yourapplication>.war/WEB-INF/ibm-web—ext.xmi l Windows下： 安装路径/IBM HTTP Server/conf/httpd。conf，检查500、404、402等错误页面配置 操作步骤 要求将配置文件中defaultErrorPage=设置为定义错误页面 回退操作 恢复默认配置 操作风险 系统通常会限制错误页面大小,超过一定大小的错误页面无法正常显示 1.14 配置SSL访问 配置项描述 配置SSL协议，确保敏感数据的传输安全 检查方法 l Linux下： netstat –an｜grep 443 l Windows下: netstat —aon｜findstr ”443” 查看443端口是否被占用 操作步骤 创建证书 1. 从IBM HTTP Server 6。0打开“密钥管理实用程序” 2. 在菜单栏单击 “密钥管理实用程序"点击新建，创建“密钥数据库文件 3. 选择CMS类型，文件名wcmkey.kdb，位置选在IBMIHS安装目录的etc目录下，点击确定，出现输入密码界面 4. 填好密码、到期时间和密码存储方式后，点击确定，然后点击“创建”菜单，选择“创建自签署证书” 5. 填好证书资料后，点击确定，创建自签署证书成功了。下面将证书导出为p12格式的证书文件 6. 输入证书密码后，导出证书就成功了，这样客户机访问的时候，直接将证书导入或安装就可以了 配置IBMIHS的配置文件httpd。conf 添加如下配置代码 LoadModule deflate_module modules/mod_deflate。so #AddOutputFilterByType DEFLATE text/html text/plain text/xml Listen 218.73。64。129:80 Listen 218.73.64。134：443 Alias /webpic ”F:/trswcm/webpic。ear/webpic.war" Alias /pub "F：/trswcm/pub。ear/pub.war" Alias /template "F:/trswcm/template.ear/template.war" AddType text/html .htm AddHandler server-parsed 。htm AddType text/html .asp AddHandler server-parsed .asp 〈VirtualHost 218。73。64。129：80〉 DocumentRoot "F：/trswcm/pub.ear/pub。war" DirectoryIndex index.html index.html。var 〈/VirtualHost〉 〈VirtualHost 218。73.64。134:443> DocumentRoot ”F：/trswcm/pub。ear/pub。war” DirectoryIndex index。html index.html。var LoadModule ibm_ssl_module modules/mod_ibm_ssl。so             #加载SSL模块 SSLEnable                                                    #SSL模块生效 Keyfile "D:/Program Files/IBM HTTP Server/etc/wcmkey。kdb"    ＃定义密钥数据库文件路径 SSLClientAuth required </VirtualHost> 在Websphere控制台中添加443端口 1． 打开WebSphere管理控制台，在左侧菜单栏中依次选择：环境〉〉虚拟主机 2． 点击default_host〉>其他属性>>主机别名〉>新建 3． 主机名“*”，端口号：443（即HTTPS端口），点击确定，保存主配置更改，重新启动IBMIHS和WebSphere后，即开启SSL服务 回退操作 恢复默认配置 操作风险 低风险 1.15 控制目录权限 配置项描述 定义控制目录权限，保证管理员拥有对目录的完全控制权 检查方法 检查config与properties目录及子目录访问权限 操作步骤 l Linux下 要求该目录仅能root权限可写，一般目录设置权限750 l Windows下： 右键文件夹，属性—>安全-〉编辑，修改各用户权限，仅保证管理员账户拥有读写权限，其他无关用户，根据需求分配相关权限 回退操作 恢复目录访问权限的默认配置 操作风险 config和properties等控制目录权限不当会导致严重后果 5. 操作系统配置要求 操作系统的服务配置应符合操作系统配置规范，详细配置请参照《系统安全配置技术规范-Windows》或《系统安全配置技术规范-Linux》执行. 10