资源描述
WebSphere系统加固规范
2025年3月
目 录
1 账号管理、认证授权 1
1.1 账号 1
1.1.1 SHG-WebSphere-01-01-01 1
1.1.2 SHG-WebSphere-01-01-02 3
1.2 认证授权 5
1.2.1 SHG-WebSphere-01-02-01 5
1.2.2 SHG-WebSphere-01-02-02 6
1.2.3 SHG-WebSphere-01-02-03 8
2 日志配置 9
2.1.1 SHG-WebSphere-02-01-01 9
3 通信协议 11
3.1.1 SHG-WebSphere-03-01-01 11
4 设备其他安全要求 13
4.1 安装部署 13
4.1.1 SHG-WebSphere-04-01-01 13
4.1.2 SHG-WebSphere-04-01-02 14
4.1.3 SHG-WebSphere-04-01-03 15
4.1.4 SHG-WebSphere-04-01-04 16
4.1.5 SHG-WebSphere-04-01-05 17
4.1.6 SHG-WebSphere-04-01-06 18
4.1.7 SHG-WebSphere-04-01-07 19
4.1.8 SHG-WebSphere-04-01-08 20
4.1.9 SHG-WebSphere-04-01-09 22
4.2 运行维护 23
4.2.1 SHG-WebSphere-04-02-01 23
4.2.2 SHG-WebSphere-04-02-02 28
4.2.3 SHG-WebSphere-04-02-03 29
4.3 备份容错 30
4.3.1 SHG-WebSphere-04-03-01 30
5 附录:系统开放端口及对应服务说明 31
1 账号管理、认证授权
1.1 账号
1.1.1 SHG-WebSphere-01-01-01
编号
SHG-WebSphere-01-01-01
名称
查看应用程序角色MAP
实施目的
用户定义的合适的角色MAP
问题影响
不合适的角色MAP会带来安全隐患
系统当前状态
以管理员身份打开管理控制台,执行:
l 点击“应用程序”-->”企业应用程序”
l 双击要查看的应用程序
l 点击“其它属性”中的”映射安全性角色到用户/组”
l 查看安全角色是否映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”
实施步骤
定义合适的角色MAP,注意也不可限制过多,否则应用会有问题
以管理员身份打开管理控制台,执行:
l 点击“应用程序”-->”企业应用程序”
l 双击要查看的应用程序
l 点击“其它属性”中的”映射安全性角色到用户/组”
l 与开发人员确认协商,修改安全角色映射,保证“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”进行安全的角色映射,没有赋予不必要的权限
回退方案
回复用户角色到加固前状态
判断依据
以管理员身份打开管理控制台,执行:
l 点击“应用程序”-->”企业应用程序”
l 双击要查看的应用程序
l 点击“其它属性”中的”映射安全性角色到用户/组”
l 查看安全角色是否映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”是否正常
实施风险
中
重要等级
★★★
备注
1.1.2 SHG-WebSphere-01-01-02
编号
SHG-WebSphere-01-01-02
名称
控制台CosNaming服务安全设置
实施目的
删除EVERYONE组,将ALL_AUTHENTICATED组角色仅设为”控制台命名读”
问题影响
Cosnaming服务权限设置过大会引入安全隐患,如当EVERYONE组默认权限为控制台命名读时,Java client可以bypass用户认证步骤.
系统当前状态
以管理员身份打开管理控制台,执行:
l 点击“环境”-->命名-->CORBA 命名服务用户
l 查看服务用户
l 点击“环境”-->命名-->CORBA 命名服务组
l 查看服务组授权
实施步骤
删除EVERYONE组将ALL_AUTHENTICATED组角色仅设为”控制台命名读”
与应用程序开发人员确认命名服务权限修改对应用程序的影响,一般来说,除非 J2EE应用程序明确指定了它的命名空间访问需求,否则更改缺省策略可能会导致在运行时发生意外的 org.omg.CORBA.NO_PERMISSION 异常
以管理员身份打开管理控制台,执行:
l 点击“环境”-->命名-->CORBA 命名服务用户
l 查看服务用户
l 点击“环境”-->命名-->CORBA 命名服务组
5. 删除EVERYONE组
6. 将ALL_AUTHENTICATED组角色仅设为”控制台命名读”
回退方案
判断依据
以管理员身份打开管理控制台,执行:
l 点击“环境”-->命名-->CORBA 命名服务用户
l 查看服务用户
l 点击“环境”-->命名-->CORBA 命名服务组
l 查看服务组授权
删除EVERYONE组将ALL_AUTHENTICATED组角色仅设为”控制台命名读”
实施风险
中
重要等级
★★★
备注
1.2 认证授权
1.2.1 SHG-WebSphere-01-02-01
编号
SHG-WebSphere-01-02-01
名称
启用全局安全性和JAVA2 安全
实施目的
启用全局安全性和JAVA2 安全
问题影响
不启用全局安全性,任何人都可以登录管理控制台并有完全控制权限,同时应用程序将不能使用WebSphere的安全特性,Java 2安全性在 J2EE 基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和 API 的保护,不启用Java2 安全性会极大减弱应用的安全强度。
系统当前状态
l 打开管理控制台
l 点击“安全性”-->”全局安全性”
l 查看“启用全局安全性”和“强制Java 2安全性”是否启用
实施步骤
启用全局安全性,如果应用程序是用 Java 2 安全性编程模型开发的,建议强制启用Java 2安全性
l 打开管理控制台
l 点击“安全性”-->”全局安全性”
l 勾选“启用全局安全性”和“强制Java 2安全性”
回退方案
停止全局安全性和JAVA2 安全
判断依据
启用全局安全性和JAVA2 安全
实施风险
中
重要等级
★★★
备注
1.2.2 SHG-WebSphere-01-02-02
编号
SHG-WebSphere-01-02-02
名称
使用管理角色分配给用户合适的管理权限
实施目的
查看控制台是否使用管理角色分配给用户合适的管理权限
问题影响
特权管理帐号在多个用户间共享带来很多安全问题,企业无法控制配置上的安全,不易定位安全事件责任人,同时特权帐号非法使用者还可抹去审计信息
系统当前状态
以管理员身份打开管理控制台,执行:
l 点击“系统管理”-->”控制台设置”-->“控制台用户”
l 点击要查看的用户名
3. 查看用户所属组
实施步骤
不同的管理任务使用不同的管理角色帐号,减少特权帐号的使用
以管理员身份打开管理控制台,执行:
1. 点击“系统管理”-->”控制台设置”-->“控制台用户”
2. 添加用户
3. 分配用户角色为monitor(监控员)、Configurator(配置员)、Operator(操作员)Administrator(管理员)之一
回退方案
判断依据
使用管理角色分配给用户合适的管理权限
实施风险
中
重要等级
★★★
备注
1.2.3 SHG-WebSphere-01-02-03
编号
SHG-WebSphere-01-02-03
名称
去除脚本中口令
实施目的
查看应用服务器是否未编码口令
问题影响
在启用全局安全性后,如果在脚本中或在命令行使用如下命令
l 停止应用服务器命令<WebSphere_home>/bin/stopServer.bat <server_name> -username <userID> -password <password>
l wsadmin –user <userID> –password <password>
由于管理员口令明文存储或ps –ef命令可查看密码,存在严重的安全隐患
系统当前状态
查看$WAS_HOME/profiles/<profilename>/properties/soap.client.props文件如下内容是否设置用户名和口令以及口令是否编码存储:
实施步骤
编码服务器口令
l 去除脚本中口令
l 编辑文件
$WAS_HOME/profiles/<profilePath>/properties/soap.client.props ,设置
3. 使用以下命令编码com.ibm.SOAP.loginPassword property 值,检查输出结果并移走创建的备份文件:
$WAS_HOME/bin/PropFilePasswordEncoder.sh soap.client.props com.ibm.SOAP.loginPassword
回退方案
回复soap.client.props到加固前状态
判断依据
实施风险
中
重要等级
★★★
备注
2 日志配置
2.1.1 SHG-WebSphere-02-01-01
编号
SHG-WebSphere-02-01-01
名称
启用日志和设置记录级别
实施目的
查看是否启用日志以及记录级别
问题影响
不启用日志就无法回溯事件进行检查或审计,日志详细信息级别如果配置不当,会缺少必要的审计信息
系统当前状态
以管理员身份打开管理控制台,执行:
1. 查看设置日志的输出属性:
在导航窗格中,单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面,单击日志记录和跟踪-->单击要配置的系统日志(诊断跟踪、
静态更改,单击”配置”选项卡,动态更改点击”运行时”选项卡。
2. 查看日志设置日志级别。
在导航窗格中,单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称。
-->在“故障诊断”下面,单击日志记录和跟踪,查看日志详细信息级别
实施步骤
1. 设置日志:
在导航窗格中,单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面,单击日志记录和跟踪-->单击要配置的系统日志(诊断跟踪、 静态更改,单击”配置”选项卡,动态更改点击”运行时”选项卡。
2. 设置记录级别。
在导航窗格中,单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称。 在“故障诊断”下面,单击日志记录和跟踪,查看日志详细信息级别。
启用所有日志,并配置日志详细信息级别为*=info: SecurityManager=all: SystemOut=all
回退方案
判断依据
实施风险
中
重要等级
★★★
备注
3 通信协议
3.1.1 SHG-WebSphere-03-01-01
编号
SHG-WebSphere-03-01-01
名称
使用“轻量级第三方认证协议LTPA”取代SWAM.
实施目的
查看是否启用SWAM认证
问题影响
由于SWAM认证机制依赖HTTP Session维护会话状态,安全性低于LTPA认证方式,并且最近出现了相关的安全漏洞,存在潜在的安全隐患
系统当前状态
以管理员身份打开管理控制台,执行:
1. 点击“安全性”-->”全局安全性”
2. 查看“启用全局安全性”是否启用
3. 如果全局安全性启用,查看活动认证机制是否为“简单WebSphere认证机制(SWAM)“
实施步骤
以管理员身份打开管理控制台,执行:
1. 点击“安全性”-->”全局安全性”
2. 选择“LTPA轻量级第三方认证协议“取代“简单WebSphere认证机制(SWAM)”
回退方案
回复加固前状态
判断依据
实施风险
中
重要等级
★★★
备注
4 设备其他安全要求
4.1 安装部署
4.1.1 SHG-WebSphere-04-01-01
编号
SHG-WebSphere-04-01-01
名称
查看WebSphere配置
实施目的
WebSphere在配置上采取必要的安全措施
问题影响
不恰当地配置存在安全隐患
系统当前状态
1. 以WAS身份,执行:
# $WAS_HOME/bin/backupConfig.sh
最好运行:
# tar cvf 压缩包名 $WAS_HOME/profiles/default/config
2. 将properties目录打包:
# tar cvf $WAS_HOME/profiles/default/properties
实施步骤
回退方案
判断依据
实施风险
高
重要等级
★★★
备注
4.1.2 SHG-WebSphere-04-01-02
编号
SHG-WebSphere-04-01-02
名称
查看控制台会话timeout设置
实施目的
控制台会话timeout低于30分钟
问题影响
控制台会话默认30分钟timeout, 安全性不高,容易导致非法使用
系统当前状态
1.用文本编辑器打开文件
$WAS_HOME/systemApps/adminconsole.ear/deployment.xml
实施步骤
将invalidationTimeout=“30”改为10,即10分钟无活动,控制台自动timeout,要求重新登录
1. 用文本编辑器打开文件
$WAS_HOME/systemApps/adminconsole.ear/deployment.xml
2. 设置<tuningParams ***** invalidationTimeout=“10”>
回退方案
$WAS_HOME/systemApps/adminconsole.ear/deployment.xml
恢复到加固前状态
判断依据
.用文本编辑器打开文件
$WAS_HOME/systemApps/adminconsole.ear/deployment.xml
查看tuningParams 参数设置,例如默认设置30分钟timeout
<tuningParams ***** invalidationTimeout=“30”>
实施风险
中
重要等级
★★★
备注
4.1.3 SHG-WebSphere-04-01-03
编号
SHG-WebSphere-04-01-03
名称
删除sample例子程序
实施目的
删除sample例子程序
问题影响
sample例子程序会泄露系统敏感信息,存在较大的安全隐患
系统当前状态
以管理员身份打开管理控制台,执行:
1. 点击“应用程序”-->”企业应用程序”
2.查看是否存在” DefaultApplication”、 “PlantsByWebSphere “、 “SamplesGallery”、“ivtApp”等例子程序
以root身份执行:
find $WAS_HOME/ -name sample
实施步骤
移走例子程序,不要在生产环境使用
以管理员身份打开管理控制台,执行:
1. 点击”应用程序”-->”企业应用程序”
2. 选中例子程序,然后点击”卸载”按钮, 卸载” DefaultApplication”、 “PlantsByWebSphere “、 “SamplesGallery”、“ivtApp”等子程序
3. find $WAS_HOME/ -name sample
4. 与开发人员确认,删除例子程序
回退方案
无
判断依据
以管理员身份打开管理控制台,执行:
1. 点击“应用程序”-->”企业应用程序”
2.查看是否存在” DefaultApplication”、 “PlantsByWebSphere “、 “SamplesGallery”、“ivtApp”等例子程序
以root身份执行:
find $WAS_HOME/ -name sample
没有sample程序
实施风险
中
重要等级
★★★
备注
4.1.4 SHG-WebSphere-04-01-04
编号
SHG-WebSphere-04-01-04
名称
定义默认错误网页
实施目的
隐藏信息
问题影响
如果没有定义默认错误网页,则当应用程序出错时会显示内部出错信息,暴露系统和应用的敏感信息
系统当前状态
以root身份执行:
grep -i defaultErrorPage
$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/
<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi
实施步骤
设定默认出错页面
用文本编辑器打开
$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/
<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi
设置defaultErrorPage=” filename of user defined ”
回退方案
恢复ibm-web-ext.xmi到加固前的状态
判断依据
实施风险
中
重要等级
★★★
备注
4.1.5 SHG-WebSphere-04-01-05
编号
SHG-WebSphere-04-01-05
名称
禁止file serving服务
实施目的
禁止file serving服务
问题影响
如果启用file serving服务,用户可能非法浏览应用服务器目录和文件,另外,应用服务器提供静态文件服务,性能会有较大的损失.
系统当前状态
以root身份执行:
grep –i fileServingEnabled
$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/
<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi
实施步骤
用文本编辑器打开
$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/
<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi
设置fileServingEnabled=”false”
回退方案
恢复ibm-web-ext.xmi到加固前的状态
判断依据
实施风险
中
重要等级
★★★
备注
4.1.6 SHG-WebSphere-04-01-06
编号
SHG-WebSphere-04-01-06
名称
禁止Directory browsing
实施目的
禁止Directory browsing
问题影响
如果启用Directory browsing,攻击者可以非法浏览目录,为进一步攻击做准备
系统当前状态
以root身份执行:
grep –i directoryBrowsingEnabled
$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/
<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi
实施步骤
禁用目录浏览
用文本编辑器打开
$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/
<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi
设置directoryBrowsingEnabled=”false”
回退方案
恢复ibm-web-ext.xmi到加固前的状态
判断依据
实施风险
中
重要等级
★★★
备注
4.1.7 SHG-WebSphere-04-01-07
编号
SHG-WebSphere-04-01-07
名称
限制MQ消息日志目录权限
实施目的
限制MQ消息日志目录权限
问题影响
MQ消息日志目录权限不当存在较大的安全隐患
系统当前状态
以root身份执行:
ls -al /var/mqm|grep errors
ls -al /var/mqm/errors/AMQERR01.LOG
ls -al /var/mqm/errors/AMQERR03.LOG
ls -al /var/mqm/qmgrs/@SYSTEM|grep errors
ls -al /var/mqm/qmgrs/@SYSTEM/errors/AMQERR01.LOG
ls -al /var/mqm/qmgrs/@SYSTEM/errors/AMQERR02.LOG
ls -al /var/mqm/qmgrs/@SYSTEM/errors/AMQERR03.LOG
ls -al /var/mqm/qmgrs/long_server_name|grep errors
ls -al /var/mqm/qmgrs/long_server_name/errors/AMQERR01.LOG
ls -al /var/mqm/qmgrs/long_server_name/errors/AMQERR02.LOG
ls -al /var/mqm/qmgrs/long_server_name/errors/AMQERR03.LOG
实施步骤
限制MQ消息日志目录权限
chmod 3777 /var/mqm/errors
chown mqm:mqm /var/mqm/errors
chown mqm:mqm /var/mqm/errors/AMQERR01.LOG
chmod 666 /var/mqm/errors/AMQERR01.LOG
chown mqm:mqm /var/mqm/errors/AMQERR03.LOG
chmod 666 /var/mqm/errors/AMQERR03.LOG
chmod 3777 /var/mqm/qmgrs/@SYSTEM/errors
chown mqm:mqm /var/mqm/qmgrs/@SYSTEM/errors
chown mqm:mqm /var/mqm/qmgrs/@SYSTEM/errors/AMQERR01.LOG
chmod 666 /var/mqm/qmgrs/@SYSTEM/errors/AMQERR01.LOG
chown mqm:mqm /var/mqm/qmgrs/@SYSTEM/errors/AMQERR02.LOG
chmod 666 /var/mqm/qmgrs/@SYSTEM/errors/AMQERR02.LOG
chown mqm:mqm /var/mqm/qmgrs/@SYSTEM/errors/AMQERR03.LOG
chmod 666 /var/mqm/qmgrs/@SYSTEM/errors/AMQERR03.LOG
chmod 3775 /var/mqm/qmgrs/long_server_name/errors
回退方案
Chmod 回复修改的权限
判断依据
实施风险
中
重要等级
★★★
备注
4.1.8 SHG-WebSphere-04-01-08
编号
SHG-WebSphere-04-01-08
名称
限制config和properties目录权限
实施目的
限制config和properties目录权限
问题影响
config和properties目录权限不当存在较严重的安全隐患
系统当前状态
以root 身份登录,执行:
ls -al $WAS_HOME/<profile name>/config
ls -al $WAS_HOME/<profile name>/properties
ls -al $WAS_HOME/<profile name>/properties/TraceSettings.properties
ls -al $WAS_HOME/<profile name>/properties/client.policy
ls -al $WAS_HOME/<profile name>/properties/client_types.xml
ls -al $WAS_HOME/<profile name>/properties/implfactory.properties
ls -al $WAS_HOME/<profile name>/properties/sas.client.props
ls -al $WAS_HOME/<profile name>/properties/sas.stdclient.properties
ls -al $WAS_HOME/<profile name>/properties/sas.tools.properties
ls -al $WAS_HOME/<profile name>/properties/soap.client.props
ls -al $WAS_HOME/<profile name>/properties/wsadmin.properties
ls -al $WAS_HOME/<profile name>/properties/wsjaas_client.conf
ls -al $WAS_HOME/<profile name>/properties/sas.server.props
ls -al $WAS_HOME/<profile name>/bin/stopServer.sh
ls -al $WAS_HOME/bin/stopServer.sh
ls -al $WAS_HOME/<profile name>/bin/*.sh
ls -al $WAS_HOME/bin/*.sh
实施步骤
以root身份执行
1. cd $WAS_HOMEAppServer/<profilepath>
chown -R root config
chmod –R 750 config
chown -R root properties
chmod –R 750 properties
2. cd properties
chmod 700 TraceSettings.properties client.policy client_types.xml implfactory.properties sas.client.props sas.stdclient.properties sas.tools.properties soap.client.props wsadmin.properties wsjaas_client.conf sas.server.props
3. chmod 700 $WAS_HOME/bin/*.sh $WAS_HOME/<profilepath>bin/*.sh
回退方案
Chmod 回复 config和properties目录权限到加固前状态
判断依据
实施风险
中
重要等级
★★★
备注
4.1.9 SHG-WebSphere-04-01-09
编号
SHG-WebSphere-04-01-09
名称
从生产环境删除源码
实施目的
开发人员预编译JSP,然后从生产环境删除源码
问题影响
生产环境存在源码是极大的安全隐患
系统当前状态
以root权限执行:
find $WAS_HOME/ -name *.jsp –print
实施步骤
开发人员预编译JSP,然后从生产环境删除源码
回退方案
无
判断依据
find $WAS_HOME/ -name *.jsp –print
没有源码文件
实施风险
中
重要等级
★★★
备注
4.2 运行维护
4.2.1 SHG-WebSphere-04-02-01
编号
SHG-WebSphere-04-02-01
名称
安装最新安全相关补丁包
实施目的
安装最新安全相关补丁包
问题影响
WebSphere应用服务器本身也存在一定安全隐患,需要安装IBM提供的补丁包
系统当前状态
以root权限执行命令(包含补丁安装信息):
$WAS_HOME/bin/versioninfo.sh
$WAS_HOME/bin/historyinfo.sh
$WAS_HOME/bin/genHistoryReport.sh
$WAS_HOME/bin /genVersionReport.sh
实施步骤
在图形界面下安装补丁的一般操作(特定补丁安装步骤见随补丁包发布的Readme相关文档):
1. 上传补丁包到$WAS_HOME/update目录
tar xvf 补丁包
2. cd $WAS_HOME/update
3. cd 解压后的补丁包目录/update
4. source $WAS_HOME/bin/setupCmdLine.sh
5. ./updateWizard.sh 启动图形安装界面
6. 选择”English”,点击”OK”按钮
7. 点击“Next”按钮
8. 选择“install fix packs”,点击”Next”按钮
9. 选择”Fix pack directory”,点击”Next”按钮
10. 查看要安装的补丁包是否是自已需要和版本匹配的
11. 点击”Next”按钮
12. 开始安装
13. 点击”Finish”完成补丁安装
回退方案
判断依据
安装了最新的安全更新
实施风险
中
重要等级
★★★
备注
WebSphere安全公告和补丁下载URL:
4.2.2 SHG-WebSphere-04-02-02
编号
SHG-WebSphere-04-02-02
名称
命令行和crontab不显示口令参数
实施目的
查看是否在命令行带口令参数运行和cron脚本权限安全
问题影响
用户可能在命令行或cron作业中直接输入用户名和密码参数
系统当前状态
以root身份执行:
#ps –ef|grep –i WebSphere
#su – WebSphere_username –c “crontab –l”
#crontab -l
实施步骤
不要在命令行和cron作业中带用户名和口令参数,同时应chmod 700 相应包含口令的cron脚本
以root权限执行:
#chmod 700 相应包含口令的cron脚本
回退方案
Chmod 修改相应包含口令的cron脚本
判断依据
命令行和crontab不显示口令参数
实施风险
中
重要等级
★★★
备注
4.2.3 SHG-WebSphere-04-02-03
编号
SHG-WebSphere-04-02-03
名称
系统变更记录
实施目的
系统应有变更控制
问题影响
系统如果可以随意改变,没有制度上的控制,就无法保障系统安全,也无法建立基线比较系统配置差异
系统当前状态
询问管理员任何系统的改变是否都必须有授权和纸介质保存的修改记录,并查看修改记录
实施步骤
任何系统的改变都必须有授权和纸介质保存的修改记录
建立系统变更记录
回退方案
无
判断依据
系统应有变更控制
实施风险
低
重要等级
★★★
备注
4.3 备份容错
4.3.1 SHG-WebSphere-04-03-01
编号
SHG-WebSphere-04-03-01
名称
完善的应用服务器备份机制
实施目的
了解用户是否有完善的应用服务器备份机制
问题影响
某非法操作或误操作可能导致服务器崩溃,需要对WebSphere的配置文件进行日常备份保护,保证应用系统的可用性.
系统当前状态
询问管理员是否有WebSphere配置文件的备份恢复方案
实施步骤
每周备份一次config和properties目录,至少每月备份一次WebSphere全目录,生产环境配置更改前必须先备份。
1. 以WAS身份,执行:
#$WAS_HOME/bin/backupConfig.sh
如以root身份,最好运行:
#tar cvf $WAS_HOME/profiles/default/config
2. 将properties目录打包:
#tar cvf $WAS_HOME/profiles/default/properties
回退方案
无
判断依据
有完善的应用服务器备份机制
实施风险
中
重要等级
★★★
备注
5 附录:系统开放端口及对应服务说明
端口名
WebSphere Application Server
说明
HTTP_TRANSPORT
9080
内部WEB容器使用
HTTP_TRANSPORT_ADMIN
9060
HTTP 管理控制台端口
HTTPS_TRANSPORT
9443
HTTPS 传输端口,内部WEB容器使用
HTTPS_TRANSPORT_ADMIN
9043
HTTPS 管理控制台安全端口
BOOTSTRAP_ADDRESS
2809
EJB客户端和管理工具使用
SOAP_CONNECTOR-ADDRESS
8880
websphere管理和Web安全服务使用
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
9401
用于向后兼容 WebSphere Application Server 的早期版本的SAS SSL端口,在缺省情况下为动态
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
9403
CSIv2 SSL 端口(没有客户机验证),在缺省情况下为动态
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
