系统安全配置技术规范Websphere样本.doc

资料内容仅供您学习参考，如有不当或者侵权，请联系改正或者删除。 系统安全配置技术规范—Websphere 版本 V0.9 日期 -06-03 文档编号 文档发布 文档说明 ( 一) 变更信息 版本号 变更日期 变更者 变更理由/变更内容 备注 ( 二) 文档审核人 姓名 职位 签名 日期 目 录 1. 适用范围 4 2. 帐号管理与授权 4 2.1 【基本】控制台帐号安全 4 2.2 【基本】帐号的口令安全 4 2.3 【基本】为应用用户定义合适的角色 5 2.4 【基本】控制台安全 5 2.5 【基本】全局安全性与Java2安全 6 3. 日志配置要求 6 3.1 【基本】开启应用日志记录 6 4. 服务配置要求 7 4.1 【基本】禁止列表显示文件 7 4.2 【基本】禁止浏览列表显示目录 7 4.3 【基本】删除示例程序 8 4.4 【基本】控制台超时设置 8 4.5 【基本】更新WebSphere补丁 8 4.6 【基本】备份容错 9 4.7 设置错误页面 9 4.8 配置SSL访问 9 4.9 控制目录权限 11 5. 操作系统配置要求 11 1. 适用范围 如无特殊说明, 本规范所有配置项适用于IBM WebSphere Application Server (WAS) 6.x,7.x, 8.x版本。其中标示为”基本”字样的配置项, 均为本公司对此类系统的基本安全配置要求; 未标示”基本”字样的配置项, 请各系统管理员视实际需求酌情遵从。 2. 帐号管理与授权 1 2 2.1 【基本】控制台帐号安全 配置项描述 配置WebSphere控制台帐号安全, 要求按权利需要分配不同用户角色, 同时保证权限最小化 检查方法 以管理员身份打开管理控制台,执行: 1. 点击”系统管理”-->”控制台设置”-->”控制台用户” 2. 点击要查看的用户名 3. 查看用户所属组 操作步骤 要求不得出现共用特权管理帐号, 管理帐号必须按角色分配用户角色为monitor( 监控员) 、 Configurator(配置员)、 Operator( 操作员) Administrator(管理员)之 回退操作 回退到原有的配置设置 操作风险 低风险 2.2 【基本】帐号的口令安全 配置项描述 配置WebSphere口令安全, 要求用户口令至少6位, 包括大小写, 数字和符号中的至少两种 检查方法 询问管理员是否存在如下类似的简单用户密码配置, 比如: Test、 netscreen、 admin、 root1234 操作步骤 检查用户口令的设置情况, 检查是否存在简单密码。要求密码长度最少为6位, 包含大小写字母、 数字和特殊符号, 密码变更周期。 回退操作 回退到原有的配置设置 操作风险 低风险 2.3 【基本】为应用用户定义合适的角色 配置项描述 为应用用户定义合适的角色, 根据用户的需求, 为用户分配不同的权限 检查方法 以管理员身份打开管理控制台,执行: 1. 点击”应用程序”-->”企业应用程序” 2. 双击要查看的应用程序 3. 点击”其它属性”中的”映射安全性角色到用户/组” 操作步骤 要求安全角色映射到”每个用户”、 ”所有已认证用户”、 ”已映射的用户”、 ”已映射的组” 以管理员身份打开管理控制台,执行: 1. 点击”应用程序”-->”企业应用程序” 2. 双击要查看的应用程序 3. 点击”其它属性”中的”映射安全性角色到用户/组”, 编辑用户角色 回退操作 回退到原有的配置设置 操作风险 需要确认应用程序用户角色 2.4 【基本】控制台安全 配置项描述 设置WebSphere控制台安全, 要求EVERYONE组已删除, 而且ALL_AUTHENTICATED组角色仅设为”控制台命名读” 检查方法 以管理员身份打开管理控制台,执行: 1. 点击”环境”-->命名-->CORBA 命名服务用户 2. 查看服务用户 3. 点击”环境”-->命名-->CORBA 命名服务组 4. 查看服务组授权 操作步骤 以管理员身份打开管理控制台,执行: 1. 点击”环境”-->命名-->CORBA 命名服务用户 2. 编辑服务用户 3. 点击”环境”-->命名-->CORBA 命名服务组 4. 编辑服务组授权 回退操作 回退到原有的配置设置 操作风险 低风险 2.5 【基本】全局安全性与Java2安全 配置项描述 Java 2安全性在 J2EE 基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和 API 的保护, 不启用Java2 安全性会极大减弱应用的安全强度。 检查方法 1. 打开管理控制台 2. 点击”安全性”-->”全局安全性” 查看”启用全局安全性”和”强制Java 2安全性”是否启用 操作步骤 1. 打开管理控制台 2. 点击”安全性”-->”全局安全性” 3. 勾选”启用全局安全性”和”强制Java 2安全性” 回退操作 回退到原有的配置设置 操作风险 低风险 3. 日志配置要求 3 3.1 【基本】开启应用日志记录 配置项描述 开启WebSphere日志记录, 对设备运行状况、 网络流量、 用户行为等进行日志记录 检查方法 以管理员身份打开管理控制台,执行: 1. 查看设置日志的输出属性: 在导航窗格中, 单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称-->在”故障诊断”下面, 单击日志记录和跟踪-->单击要配置的系统日志( 诊断跟踪、 静态更改, 单击”配置”选项卡,动态更改点击”运行时”选项卡。 2. 查看日志设置日志级别。 在导航窗格中, 单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称。 -->在”故障诊断”下面, 单击日志记录和跟踪,查看日志详细信息级别。 操作步骤 要求启用所有日志, 并配置日志详细信息级别为*=info: SecurityManager=all: SystemOut=all 回退操作 回退到原有的配置设置 操作风险 占用一定磁盘空间 4. 服务配置要求 4 4.1 【基本】禁止列表显示文件 配置项描述 WebSphere文件访问, 禁止WebSphere列表显示文件 检查方法 查看fileServingEnabled参数设置文件 该文件位于 WAR 文件下的 WEB-INF 扩展中的 ibm-web-ext.xmi 文件中 $WAS_HOME/<profilepath>/config/cells/<hostname>/applications/ <yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi 操作步骤 修改fileServingEnabled参数设置为false 该文件位于 WAR 文件下的 WEB-INF 扩展中的 ibm-web-ext.xmi 文件中 $WAS_HOME/<profilepath>/config/cells/<hostname>/applications/ <yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi 要求fileServingEnabled=”false” 回退操作 修改fileServingEnabled参数设置为原有参数 该文件位于 WAR 文件下的 WEB-INF 扩展中的 ibm-web-ext.xmi 文件中 $WAS_HOME/<profilepath>/config/cells/<hostname>/applications/ <yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi 要求fileServingEnabled=原有参数 操作风险 低风险 4.2 【基本】禁止浏览列表显示目录 配置项描述 WebSphere目录列出, 禁止WebSphere浏览、 列表显示目录 检查方法 Linux下: 以root身份执行: grep –i directoryBrowsingEnabled $WAS_HOME/<profilepath>/config/cells/<hostname>/applications/ <yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi Windows下: 安装路径: \AppServer\profiles\BBS\config\cells\<hostname>\applications\<yourapplication>.ear\<yourapplication>_war\<yourapplication>.war\WEB-INF\ibm-web-ext.xmi 操作步骤 要求directoryBrowsingEnabled=”false” 回退操作 directoryBrowsingEnabled=原有参数 操作风险 低风险 4.3 【基本】删除示例程序 配置项描述 WebSphere示例程序删除, 防止攻击者利用默认的实例程序, 威胁系统安全 检查方法 以管理员身份打开管理控制台,执行: 1. 点击”应用程序”-->”企业应用程序” 操作步骤 删除” DefaultApplication”、 ”PlantsByWebSphere ”、 ”SamplesGallery”、 ”ivtApp”等例子程序 回退操作 无 操作风险 需确认例子程序是否有用途 4.4 【基本】控制台超时设置 配置项描述 WebSphere控制台超时设置 检查方法 1.用文本编辑器打开文件 $WAS_HOME/systemApps/adminconsole.ear/deployment.xml 查看invalidationTimeout的值 操作步骤 invalidationTimeout的值不得大于10 回退操作 回退到原有的配置设置 操作风险 低风险 4.5 【基本】更新WebSphere补丁 配置项描述 及时更新WebSphere补丁, 修复系统漏洞, 提高系统稳定性 检查方法 l Linux下: 以root权限执行查看命令(包含补丁安装信息): $WAS_HOME/bin/versioninfo.sh $WAS_HOME/bin/historyinfo.sh $WAS_HOME/bin/genHistoryReport.sh $WAS_HOME/bin /genVersionReport.sh l Windows下: 查看文件c:\WebSphere\AppServer\properties\com\ibm\websphere\product.xml, 确定版本信息 操作步骤 要求Websphere更新了必要的补丁, 要求补丁更新至最新 回退操作 回退版本 操作风险 未经测试的补丁可能导致系统不可用 4.6 【基本】备份容错 配置项描述 开启WebSphere备份容错功能 检查方法 访谈与实地了解针对Web应用的当前备份容错机制 操作步骤 要求备份容错机制中针对配置文件、 主程序等的备份周期, 介质及内容达到Web应用需求 回退操作 回退到原有的配置设置 操作风险 低风险 4.7 设置错误页面 配置项描述 将WebSphere错误页面指向自定义页面 检查方法 l Linux下: 以root身份执行: grep -i defaultErrorPage $WAS_HOME/<profilepath>/config/cells/<hostname>/applications/ <yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi l Windows下: 安装路径/IBM HTTP Server/conf/httpd.conf, 检查500、 404、 402等错误页面配置 操作步骤 要求将配置文件中defaultErrorPage=设置为定义错误页面 回退操作 恢复默认配置 操作风险 系统一般会限制错误页面大小, 超过一定大小的错误页面无法正常显示 4.8 配置SSL访问 配置项描述 配置SSL协议, 确保敏感数据的传输安全 检查方法 l Linux下: netstat –an|grep 443 l Windows下: netstat -aon|findstr "443" 查看443端口是否被占用 操作步骤 创立证书 1. 从IBM HTTP Server 6.0打开”密钥管理实用程序” 2. 在菜单栏单击 ”密钥管理实用程序”点击新建, 创立”密钥数据库文件 3. 选择CMS类型, 文件名wcmkey.kdb, 位置选在IBMIHS安装目录的etc目录下, 点击确定, 出现输入密码界面 4. 填好密码、 到期时间和密码存储方式后, 点击确定, 然后点击”创立”菜单, 选择”创立自签署证书” 5. 填好证书资料后, 点击确定, 创立自签署证书成功了。下面将证书导出为p12格式的证书文件 6. 输入证书密码后, 导出证书就成功了, 这样客户机访问的时候, 直接将证书导入或安装就能够了 配置IBMIHS的配置文件httpd.conf 添加如下配置代码 LoadModule deflate_module modules/mod_deflate.so #AddOutputFilterByType DEFLATE text/html text/plain text/xml Listen 218.73.64.129:80 Listen 218.73.64.134:443 Alias /webpic "F:/trswcm/webpic.ear/webpic.war" Alias /pub "F:/trswcm/pub.ear/pub.war" Alias /template "F:/trswcm/template.ear/template.war" AddType text/html .htm AddHandler server-parsed .htm AddType text/html .asp AddHandler server-parsed .asp <VirtualHost 218.73.64.129:80> DocumentRoot "F:/trswcm/pub.ear/pub.war" DirectoryIndex index.html index.html.var </VirtualHost> <VirtualHost 218.73.64.134:443> DocumentRoot "F:/trswcm/pub.ear/pub.war" DirectoryIndex index.html index.html.var LoadModule ibm_ssl_module modules/mod_ibm_ssl.so             #加载SSL模块 SSLEnable                                                    #SSL模块生效 Keyfile "D:/Program Files/IBM HTTP Server/etc/wcmkey.kdb"    #定义密钥数据库文件路径 SSLClientAuth required </VirtualHost> 在Websphere控制台中添加443端口 1． 打开WebSphere管理控制台, 在左侧菜单栏中依次选择: 环境>>虚拟主机 2． 点击default_host>>其它属性>>主机别名>>新建 3． 主机名”*”, 端口号: 443( 即HTTPS端口) , 点击确定, 保存主配置更改, 重新启动IBMIHS和WebSphere后, 即开启SSL服务 回退操作 恢复默认配置 操作风险 低风险 4.9 控制目录权限 配置项描述 定义控制目录权限, 保证管理员拥有对目录的完全控制权 检查方法 检查config与properties目录及子目录访问权限 操作步骤 l Linux下 要求该目录仅能root权限可写, 一般目录设置权限750 l Windows下: 右键文件夹, 属性->安全->编辑, 修改各用户权限, 仅保证管理员账户拥有读写权限, 其它无关用户, 根据需求分配相关权限 回退操作 恢复目录访问权限的默认配置 操作风险 config和properties等控制目录权限不当会导致严重后果 5. 操作系统配置要求 操作系统的服务配置应符合操作系统配置规范, 详细配置请参照《系统安全配置技术规范-Windows》或《系统安全配置技术规范-Linux》执行。