©2010-2026 宁波自信网络信息技术有限公司 版权所有
客服电话:0574-28810668 投诉电话:18658249818
浙ICP备2021020529号-1 | 浙B2-20240490
关注我们 :
1、 WebSphere系统加固规范 2025年3月 目 录 1 账号管理、认证授权 1 1.1 账号 1 1.1.1 SHG-WebSphere-01-01-01 1 1.1.2 SHG-WebSphere-01-01-02 3 1.2 认证授权 5 1.2.1 SHG-WebSphere-01-02-01 5 1.2.2 SHG-WebSphere-01-02-02 6 1.2.3 SHG-WebSphere-01-02-03 8 2 日志配置 9 2.1.1 SHG-WebSphere-02-01-01 9
2、 3 通信协议 11 3.1.1 SHG-WebSphere-03-01-01 11 4 设备其他安全要求 13 4.1 安装部署 13 4.1.1 SHG-WebSphere-04-01-01 13 4.1.2 SHG-WebSphere-04-01-02 14 4.1.3 SHG-WebSphere-04-01-03 15 4.1.4 SHG-WebSphere-04-01-04 16 4.1.5 SHG-WebSphere-04-01-05 17 4.1.6 SHG-WebSphere-04-01-06 18 4.1.7 SHG-WebSphere-04-01-07
3、19 4.1.8 SHG-WebSphere-04-01-08 20 4.1.9 SHG-WebSphere-04-01-09 22 4.2 运行维护 23 4.2.1 SHG-WebSphere-04-02-01 23 4.2.2 SHG-WebSphere-04-02-02 28 4.2.3 SHG-WebSphere-04-02-03 29 4.3 备份容错 30 4.3.1 SHG-WebSphere-04-03-01 30 5 附录:系统开放端口及对应服务说明 31 1 账号管理、认证授权 1.1 账号 1.1.1 SHG-WebSphere-01-01-
4、01 编号 SHG-WebSphere-01-01-01 名称 查看应用程序角色MAP 实施目的 用户定义的合适的角色MAP 问题影响 不合适的角色MAP会带来安全隐患 系统当前状态 以管理员身份打开管理控制台,执行: l 点击“应用程序”-->”企业应用程序” l 双击要查看的应用程序 l 点击“其它属性”中的”映射安全性角色到用户/组” l 查看安全角色是否映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组” 实施步骤 定义合适的角色MAP,注意也不可限制过多,否则应用会有问题 以管理员身份打开管理控制台,执行: l 点击“应用程序”
5、>”企业应用程序” l 双击要查看的应用程序 l 点击“其它属性”中的”映射安全性角色到用户/组” l 与开发人员确认协商,修改安全角色映射,保证“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”进行安全的角色映射,没有赋予不必要的权限 回退方案 回复用户角色到加固前状态 判断依据 以管理员身份打开管理控制台,执行: l 点击“应用程序”-->”企业应用程序” l 双击要查看的应用程序 l 点击“其它属性”中的”映射安全性角色到用户/组” l 查看安全角色是否映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”是否正常 实
6、施风险 中 重要等级 ★★★ 备注 1.1.2 SHG-WebSphere-01-01-02 编号 SHG-WebSphere-01-01-02 名称 控制台CosNaming服务安全设置 实施目的 删除EVERYONE组,将ALL_AUTHENTICATED组角色仅设为”控制台命名读” 问题影响 Cosnaming服务权限设置过大会引入安全隐患,如当EVERYONE组默认权限为控制台命名读时,Java client可以bypass用户认证步骤. 系统当前状态 以管理员身份打开管理控制台,执行: l 点击“环境”-->命名-->CORBA 命名服务用户 l
7、 查看服务用户 l 点击“环境”-->命名-->CORBA 命名服务组 l 查看服务组授权 实施步骤 删除EVERYONE组将ALL_AUTHENTICATED组角色仅设为”控制台命名读” 与应用程序开发人员确认命名服务权限修改对应用程序的影响,一般来说,除非 J2EE应用程序明确指定了它的命名空间访问需求,否则更改缺省策略可能会导致在运行时发生意外的 org.omg.CORBA.NO_PERMISSION 异常 以管理员身份打开管理控制台,执行: l 点击“环境”-->命名-->CORBA 命名服务用户 l 查看服务用户 l 点击“环境”-->命名-->CORBA 命名
8、服务组 5. 删除EVERYONE组 6. 将ALL_AUTHENTICATED组角色仅设为”控制台命名读” 回退方案 判断依据 以管理员身份打开管理控制台,执行: l 点击“环境”-->命名-->CORBA 命名服务用户 l 查看服务用户 l 点击“环境”-->命名-->CORBA 命名服务组 l 查看服务组授权 删除EVERYONE组将ALL_AUTHENTICATED组角色仅设为”控制台命名读” 实施风险 中 重要等级 ★★★ 备注 1.2 认证授权 1.2.1 SHG-WebSphere-01-02-01 编号 SHG-WebS
9、phere-01-02-01 名称 启用全局安全性和JAVA2 安全 实施目的 启用全局安全性和JAVA2 安全 问题影响 不启用全局安全性,任何人都可以登录管理控制台并有完全控制权限,同时应用程序将不能使用WebSphere的安全特性,Java 2安全性在 J2EE 基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和 API 的保护,不启用Java2 安全性会极大减弱应用的安全强度。 系统当前状态 l 打开管理控制台 l 点击“安全性”-->”全局安全性” l 查看“启用全局安全性”和“强制Java 2安全性”是否启用 实施步骤 启用全局安全性,如果应
10、用程序是用 Java 2 安全性编程模型开发的,建议强制启用Java 2安全性 l 打开管理控制台 l 点击“安全性”-->”全局安全性” l 勾选“启用全局安全性”和“强制Java 2安全性” 回退方案 停止全局安全性和JAVA2 安全 判断依据 启用全局安全性和JAVA2 安全 实施风险 中 重要等级 ★★★ 备注 1.2.2 SHG-WebSphere-01-02-02 编号 SHG-WebSphere-01-02-02 名称 使用管理角色分配给用户合适的管理权限 实施目的 查看控制台是否使用管理角色分配给用户合适的管理权限 问题影响
11、 特权管理帐号在多个用户间共享带来很多安全问题,企业无法控制配置上的安全,不易定位安全事件责任人,同时特权帐号非法使用者还可抹去审计信息 系统当前状态 以管理员身份打开管理控制台,执行: l 点击“系统管理”-->”控制台设置”-->“控制台用户” l 点击要查看的用户名 3. 查看用户所属组 实施步骤 不同的管理任务使用不同的管理角色帐号,减少特权帐号的使用 以管理员身份打开管理控制台,执行: 1. 点击“系统管理”-->”控制台设置”-->“控制台用户” 2. 添加用户 3. 分配用户角色为monitor(监控员)、Configurator(配置员)、Oper
12、ator(操作员)Administrator(管理员)之一
回退方案
判断依据
使用管理角色分配给用户合适的管理权限
实施风险
中
重要等级
★★★
备注
1.2.3 SHG-WebSphere-01-02-03
编号
SHG-WebSphere-01-02-03
名称
去除脚本中口令
实施目的
查看应用服务器是否未编码口令
问题影响
在启用全局安全性后,如果在脚本中或在命令行使用如下命令
l 停止应用服务器命令
13、password
14、ps ,设置 3. 使用以下命令编码com.ibm.SOAP.loginPassword property 值,检查输出结果并移走创建的备份文件: $WAS_HOME/bin/PropFilePasswordEncoder.sh soap.client.props com.ibm.SOAP.loginPassword 回退方案 回复soap.client.props到加固前状态 判断依据 实施风险 中 重要等级 ★★★ 备注 2 日志配置 2.1.1 SHG-WebSphere-02-01-01 编号 SHG-WebSphere-02-01-01
15、名称 启用日志和设置记录级别 实施目的 查看是否启用日志以及记录级别 问题影响 不启用日志就无法回溯事件进行检查或审计,日志详细信息级别如果配置不当,会缺少必要的审计信息 系统当前状态 以管理员身份打开管理控制台,执行: 1. 查看设置日志的输出属性: 在导航窗格中,单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面,单击日志记录和跟踪-->单击要配置的系统日志(诊断跟踪、 静态更改,单击”配置”选项卡,动态更改点击”运行时”选项卡。 2. 查看日志设置日志级别。 在导航窗格中,单击服务器 > 应用程序服务器-->单击您要使用
16、的服务器的名称。 -->在“故障诊断”下面,单击日志记录和跟踪,查看日志详细信息级别 实施步骤 1. 设置日志: 在导航窗格中,单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面,单击日志记录和跟踪-->单击要配置的系统日志(诊断跟踪、 静态更改,单击”配置”选项卡,动态更改点击”运行时”选项卡。 2. 设置记录级别。 在导航窗格中,单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称。 在“故障诊断”下面,单击日志记录和跟踪,查看日志详细信息级别。 启用所有日志,并配置日志详细信息级别为*=info: SecurityMan
17、ager=all: SystemOut=all 回退方案 判断依据 实施风险 中 重要等级 ★★★ 备注 3 通信协议 3.1.1 SHG-WebSphere-03-01-01 编号 SHG-WebSphere-03-01-01 名称 使用“轻量级第三方认证协议LTPA”取代SWAM. 实施目的 查看是否启用SWAM认证 问题影响 由于SWAM认证机制依赖HTTP Session维护会话状态,安全性低于LTPA认证方式,并且最近出现了相关的安全漏洞,存在潜在的安全隐患 系统当前状态 以管理员身份打开管理控制台,执行: 1. 点击“安全性”
18、>”全局安全性” 2. 查看“启用全局安全性”是否启用 3. 如果全局安全性启用,查看活动认证机制是否为“简单WebSphere认证机制(SWAM)“ 实施步骤 以管理员身份打开管理控制台,执行: 1. 点击“安全性”-->”全局安全性” 2. 选择“LTPA轻量级第三方认证协议“取代“简单WebSphere认证机制(SWAM)” 回退方案 回复加固前状态 判断依据 实施风险 中 重要等级 ★★★ 备注 4 设备其他安全要求 4.1 安装部署 4.1.1 SHG-WebSphere-04-01-01 编号 SHG-WebSphere-04-
19、01-01 名称 查看WebSphere配置 实施目的 WebSphere在配置上采取必要的安全措施 问题影响 不恰当地配置存在安全隐患 系统当前状态 1. 以WAS身份,执行: # $WAS_HOME/bin/backupConfig.sh 最好运行: # tar cvf 压缩包名 $WAS_HOME/profiles/default/config 2. 将properties目录打包: # tar cvf $WAS_HOME/profiles/default/properties 实施步骤 回退方案 判断依据 实施风险 高 重要等级
20、★★★ 备注 4.1.2 SHG-WebSphere-04-01-02 编号 SHG-WebSphere-04-01-02 名称 查看控制台会话timeout设置 实施目的 控制台会话timeout低于30分钟 问题影响 控制台会话默认30分钟timeout, 安全性不高,容易导致非法使用 系统当前状态 1.用文本编辑器打开文件 $WAS_HOME/systemApps/adminconsole.ear/deployment.xml 实施步骤 将invalidationTimeout=“30”改为10,即10分钟无活动,控制台自动timeout,要求重新登
21、录
1. 用文本编辑器打开文件
$WAS_HOME/systemApps/adminconsole.ear/deployment.xml
2. 设置
22、eout
23、sByWebSphere “、 “SamplesGallery”、“ivtApp”等例子程序 以root身份执行: find $WAS_HOME/ -name sample 实施步骤 移走例子程序,不要在生产环境使用 以管理员身份打开管理控制台,执行: 1. 点击”应用程序”-->”企业应用程序” 2. 选中例子程序,然后点击”卸载”按钮, 卸载” DefaultApplication”、 “PlantsByWebSphere “、 “SamplesGallery”、“ivtApp”等子程序 3. find $WAS_HOME/ -name sample 4. 与开发
24、人员确认,删除例子程序 回退方案 无 判断依据 以管理员身份打开管理控制台,执行: 1. 点击“应用程序”-->”企业应用程序” 2.查看是否存在” DefaultApplication”、 “PlantsByWebSphere “、 “SamplesGallery”、“ivtApp”等例子程序 以root身份执行: find $WAS_HOME/ -name sample 没有sample程序 实施风险 中 重要等级 ★★★ 备注 4.1.4 SHG-WebSphere-04-01-04 编号 SHG-WebSphere-04-01-04 名称 定
25、义默认错误网页
实施目的
隐藏信息
问题影响
如果没有定义默认错误网页,则当应用程序出错时会显示内部出错信息,暴露系统和应用的敏感信息
系统当前状态
以root身份执行:
grep -i defaultErrorPage
$WAS_HOME/ 26、epath>/config/cells/ 27、 serving服务
实施目的
禁止file serving服务
问题影响
如果启用file serving服务,用户可能非法浏览应用服务器目录和文件,另外,应用服务器提供静态文件服务,性能会有较大的损失.
系统当前状态
以root身份执行:
grep –i fileServingEnabled
$WAS_HOME/ 28、器打开
$WAS_HOME/ 29、ectory browsing
实施目的
禁止Directory browsing
问题影响
如果启用Directory browsing,攻击者可以非法浏览目录,为进一步攻击做准备
系统当前状态
以root身份执行:
grep –i directoryBrowsingEnabled
$WAS_HOME/ 30、编辑器打开
$WAS_HOME/ 31、称
限制MQ消息日志目录权限
实施目的
限制MQ消息日志目录权限
问题影响
MQ消息日志目录权限不当存在较大的安全隐患
系统当前状态
以root身份执行:
ls -al /var/mqm|grep errors
ls -al /var/mqm/errors/AMQERR01.LOG
ls -al /var/mqm/errors/AMQERR03.LOG
ls -al /var/mqm/qmgrs/@SYSTEM|grep errors
ls -al /var/mqm/qmgrs/@SYSTEM/errors/AMQERR01.LOG
ls -al /var/mqm 32、/qmgrs/@SYSTEM/errors/AMQERR02.LOG
ls -al /var/mqm/qmgrs/@SYSTEM/errors/AMQERR03.LOG
ls -al /var/mqm/qmgrs/long_server_name|grep errors
ls -al /var/mqm/qmgrs/long_server_name/errors/AMQERR01.LOG
ls -al /var/mqm/qmgrs/long_server_name/errors/AMQERR02.LOG
ls -al /var/mqm/qmgrs/long_server_name/ 33、errors/AMQERR03.LOG
实施步骤
限制MQ消息日志目录权限
chmod 3777 /var/mqm/errors
chown mqm:mqm /var/mqm/errors
chown mqm:mqm /var/mqm/errors/AMQERR01.LOG
chmod 666 /var/mqm/errors/AMQERR01.LOG
chown mqm:mqm /var/mqm/errors/AMQERR03.LOG
chmod 666 /var/mqm/errors/AMQERR03.LOG
chmod 3777 /var/mqm/qmgrs/@SY 34、STEM/errors
chown mqm:mqm /var/mqm/qmgrs/@SYSTEM/errors
chown mqm:mqm /var/mqm/qmgrs/@SYSTEM/errors/AMQERR01.LOG
chmod 666 /var/mqm/qmgrs/@SYSTEM/errors/AMQERR01.LOG
chown mqm:mqm /var/mqm/qmgrs/@SYSTEM/errors/AMQERR02.LOG
chmod 666 /var/mqm/qmgrs/@SYSTEM/errors/AMQERR02.LOG
chown mqm:mqm /var 35、/mqm/qmgrs/@SYSTEM/errors/AMQERR03.LOG
chmod 666 /var/mqm/qmgrs/@SYSTEM/errors/AMQERR03.LOG
chmod 3775 /var/mqm/qmgrs/long_server_name/errors
回退方案
Chmod 回复修改的权限
判断依据
实施风险
中
重要等级
★★★
备注
4.1.8 SHG-WebSphere-04-01-08
编号
SHG-WebSphere-04-01-08
名称
限制config和properties目录权限
实施目的
限制 36、config和properties目录权限
问题影响
config和properties目录权限不当存在较严重的安全隐患
系统当前状态
以root 身份登录,执行:
ls -al $WAS_HOME/ 37、s -al $WAS_HOME/ 38、sas.tools.properties
ls -al $WAS_HOME/ 39、e>/bin/stopServer.sh
ls -al $WAS_HOME/bin/stopServer.sh
ls -al $WAS_HOME/ 40、
chmod 700 TraceSettings.properties client.policy client_types.xml implfactory.properties sas.client.props sas.stdclient.properties sas.tools.properties soap.client.props wsadmin.properties wsjaas_client.conf sas.server.props
3. chmod 700 $WAS_HOME/bin/*.sh $WAS_HOME/ 41、sh
回退方案
Chmod 回复 config和properties目录权限到加固前状态
判断依据
实施风险
中
重要等级
★★★
备注
4.1.9 SHG-WebSphere-04-01-09
编号
SHG-WebSphere-04-01-09
名称
从生产环境删除源码
实施目的
开发人员预编译JSP,然后从生产环境删除源码
问题影响
生产环境存在源码是极大的安全隐患
系统当前状态
以root权限执行:
find $WAS_HOME/ -name *.jsp –print
实施步骤
开发人员预编译JSP,然后从生产环境删除源码
回退方案
42、
无
判断依据
find $WAS_HOME/ -name *.jsp –print
没有源码文件
实施风险
中
重要等级
★★★
备注
4.2 运行维护
4.2.1 SHG-WebSphere-04-02-01
编号
SHG-WebSphere-04-02-01
名称
安装最新安全相关补丁包
实施目的
安装最新安全相关补丁包
问题影响
WebSphere应用服务器本身也存在一定安全隐患,需要安装IBM提供的补丁包
系统当前状态
以root权限执行命令(包含补丁安装信息):
$WAS_HOME/bin/versioninfo.sh
$WAS_ 43、HOME/bin/historyinfo.sh
$WAS_HOME/bin/genHistoryReport.sh
$WAS_HOME/bin /genVersionReport.sh
实施步骤
在图形界面下安装补丁的一般操作(特定补丁安装步骤见随补丁包发布的Readme相关文档):
1. 上传补丁包到$WAS_HOME/update目录
tar xvf 补丁包
2. cd $WAS_HOME/update
3. cd 解压后的补丁包目录/update
4. source $WAS_HOME/bin/setupCmdLine.sh
5. ./updateWizar 44、d.sh 启动图形安装界面
6. 选择”English”,点击”OK”按钮
7. 点击“Next”按钮
8. 选择“install fix packs”,点击”Next”按钮
9. 选择”Fix pack directory”,点击”Next”按钮
10. 查看要安装的补丁包是否是自已需要和版本匹配的
11. 点击”Next”按钮
12. 开始安装
13. 点击”Finish”完成补丁安装
回退方案
判断依据
安装了最新的安全更新
实施风险
中
重要等级
★★★
备注
WebSphere安全公告和补丁下载URL:
45、4.2.2 SHG-WebSphere-04-02-02
编号
SHG-WebSphere-04-02-02
名称
命令行和crontab不显示口令参数
实施目的
查看是否在命令行带口令参数运行和cron脚本权限安全
问题影响
用户可能在命令行或cron作业中直接输入用户名和密码参数
系统当前状态
以root身份执行:
#ps –ef|grep –i WebSphere
#su – WebSphere_username –c “crontab –l”
#crontab -l
实施步骤
不要在命令行和cron作业中带用户名和口令参数,同时应chmod 700 相应 46、包含口令的cron脚本
以root权限执行:
#chmod 700 相应包含口令的cron脚本
回退方案
Chmod 修改相应包含口令的cron脚本
判断依据
命令行和crontab不显示口令参数
实施风险
中
重要等级
★★★
备注
4.2.3 SHG-WebSphere-04-02-03
编号
SHG-WebSphere-04-02-03
名称
系统变更记录
实施目的
系统应有变更控制
问题影响
系统如果可以随意改变,没有制度上的控制,就无法保障系统安全,也无法建立基线比较系统配置差异
系统当前状态
询问管理员任何系统的改变是否都必须有授 47、权和纸介质保存的修改记录,并查看修改记录
实施步骤
任何系统的改变都必须有授权和纸介质保存的修改记录
建立系统变更记录
回退方案
无
判断依据
系统应有变更控制
实施风险
低
重要等级
★★★
备注
4.3 备份容错
4.3.1 SHG-WebSphere-04-03-01
编号
SHG-WebSphere-04-03-01
名称
完善的应用服务器备份机制
实施目的
了解用户是否有完善的应用服务器备份机制
问题影响
某非法操作或误操作可能导致服务器崩溃,需要对WebSphere的配置文件进行日常备份保护,保证应用系统的可用性.
系统当前状态 48、
询问管理员是否有WebSphere配置文件的备份恢复方案
实施步骤
每周备份一次config和properties目录,至少每月备份一次WebSphere全目录,生产环境配置更改前必须先备份。
1. 以WAS身份,执行:
#$WAS_HOME/bin/backupConfig.sh
如以root身份,最好运行:
#tar cvf $WAS_HOME/profiles/default/config
2. 将properties目录打包:
#tar cvf $WAS_HOME/profiles/default/properties
回退方案
无
判断依据
有完善的应用 49、服务器备份机制
实施风险
中
重要等级
★★★
备注
5 附录:系统开放端口及对应服务说明
端口名
WebSphere Application Server
说明
HTTP_TRANSPORT
9080
内部WEB容器使用
HTTP_TRANSPORT_ADMIN
9060
HTTP 管理控制台端口
HTTPS_TRANSPORT
9443
HTTPS 传输端口,内部WEB容器使用
HTTPS_TRANSPORT_ADMIN
9043
HTTPS 管理控制台安全端口
BOOTSTRAP_ADDRESS
2809
EJB客户端和管理工具使用
SOAP_CONNECTOR-ADDRESS
8880
websphere管理和Web安全服务使用
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
9401
用于向后兼容 WebSphere Application Server 的早期版本的SAS SSL端口,在缺省情况下为动态
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
9403
CSIv2 SSL 端口(没有客户机验证),在缺省情况下为动态
©2010-2026 宁波自信网络信息技术有限公司 版权所有
客服电话:0574-28810668 投诉电话:18658249818
浙ICP备2021020529号-1 | 浙B2-20240490
关注我们 :
