(最新整理)系統(tǒng)安全配置技術(shù)規(guī)范-Websphere

1、(完整)系統(tǒng)安全配置技術(shù)規(guī)范-websphere(完整)系統(tǒng)安全配置技術(shù)規(guī)范-websphere 編輯整理：尊敬的讀者朋友們：這里是精品文檔編輯中心，本文檔內(nèi)容是由我和我的同事精心編輯整理后發(fā)布的，發(fā)布之前我們對文中內(nèi)容進(jìn)行仔細(xì)校對，但是難免會有疏漏的地方，但是任然希望（(完整)系統(tǒng)安全配置技術(shù)規(guī)范-websphere）的內(nèi)容能夠給您的工作和學(xué)習(xí)帶來便利。同時(shí)也真誠的希望收到您的建議和反饋，這將是我們進(jìn)步的源泉，前進(jìn)的動力。本文可編輯可修改，如果覺得對您有幫助請收藏以便隨時(shí)查閱，最后祝您生活愉快 業(yè)績進(jìn)步，以下為(完整)系統(tǒng)安全配置技術(shù)規(guī)范-websphere的全部內(nèi)容。18系統(tǒng)安全配置技術(shù)規(guī)

2、范websphere版本v0。9日期201306-03文檔編號文檔發(fā)布文檔說明（一）變更信息版本號變更日期變更者變更理由/變更內(nèi)容備注（二）文檔審核人姓名職位簽名日期目 錄1.適用范圍42.帳號管理與授權(quán)42。1【基本】控制臺帳號安全42。2【基本】帳號的口令安全42.3【基本】為應(yīng)用用戶定義合適的角色52。4【基本】控制臺安全52.5【基本】全局安全性與java2安全63.日志配置要求63.1【基本】開啟應(yīng)用日志記錄64。服務(wù)配置要求74。1【基本】禁止列表顯示文件74。2【基本】禁止瀏覽列表顯示目錄74.3【基本】刪除示例程序84.4【基本】控制臺超時(shí)設(shè)置84。5【基本】更新websphe

3、re補(bǔ)丁84。6【基本】備份容錯(cuò)94.7設(shè)置錯(cuò)誤頁面94.8配置ssl訪問94。9控制目錄權(quán)限115。操作系統(tǒng)配置要求111. 適用范圍如無特殊說明，本規(guī)范所有配置項(xiàng)適用于ibm websphere application server （was) 6.x,7。x，8。x版本。其中標(biāo)示為“基本”字樣的配置項(xiàng),均為本公司對此類系統(tǒng)的基本安全配置要求；未標(biāo)示“基本”字樣的配置項(xiàng)，請各系統(tǒng)管理員視實(shí)際需求酌情遵從。2. 帳號管理與授權(quán)122.1 【基本】控制臺帳號安全配置項(xiàng)描述配置websphere控制臺帳號安全，要求按權(quán)利需要分配不同用戶角色，同時(shí)保證權(quán)限最小化檢查方法以管理員身份打開管理控制臺,

4、執(zhí)行:1. 點(diǎn)擊“系統(tǒng)管理-”控制臺設(shè)置”-“控制臺用戶”2. 點(diǎn)擊要查看的用戶名3. 查看用戶所屬組操作步驟要求不得出現(xiàn)共用特權(quán)管理帳號，管理帳號必須按角色分配用戶角色為monitor（監(jiān)控員）、configurator（配置員)、operator（操作員）administrator(管理員）之回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)2.2 【基本】帳號的口令安全配置項(xiàng)描述配置websphere口令安全，要求用戶口令至少6位，包括大小寫,數(shù)字和符號中的至少兩種檢查方法詢問管理員是否存在如下類似的簡單用戶密碼配置,比如：test、netscreen、admin、root1234操作步驟檢查用

5、戶口令的設(shè)置情況，檢查是否存在簡單密碼。要求密碼長度最少為6位，包含大小寫字母、數(shù)字和特殊符號，密碼變更周期?；赝瞬僮骰赝说皆械呐渲迷O(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)2.3 【基本】為應(yīng)用用戶定義合適的角色配置項(xiàng)描述為應(yīng)用用戶定義合適的角色，根據(jù)用戶的需求，為用戶分配不同的權(quán)限檢查方法以管理員身份打開管理控制臺，執(zhí)行：1. 點(diǎn)擊“應(yīng)用程序”-”企業(yè)應(yīng)用程序2. 雙擊要查看的應(yīng)用程序3. 點(diǎn)擊“其它屬性”中的”映射安全性角色到用戶/組操作步驟要求安全角色映射到“每個(gè)用戶“、“所有已認(rèn)證用戶”、“已映射的用戶、“已映射的組”以管理員身份打開管理控制臺,執(zhí)行：1. 點(diǎn)擊“應(yīng)用程序”企業(yè)應(yīng)用程序”2. 雙擊要查看的

6、應(yīng)用程序3. 點(diǎn)擊“其它屬性”中的”映射安全性角色到用戶/組”，編輯用戶角色回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)需要確認(rèn)應(yīng)用程序用戶角色2.4 【基本】控制臺安全配置項(xiàng)描述設(shè)置websphere控制臺安全，要求everyone組已刪除，并且all_authenticated組角色僅設(shè)為”控制臺命名讀”檢查方法以管理員身份打開管理控制臺，執(zhí)行:1. 點(diǎn)擊“環(huán)境”命名corba 命名服務(wù)用戶2. 查看服務(wù)用戶3. 點(diǎn)擊“環(huán)境”-命名-corba 命名服務(wù)組4. 查看服務(wù)組授權(quán)操作步驟以管理員身份打開管理控制臺，執(zhí)行：1. 點(diǎn)擊“環(huán)境命名corba 命名服務(wù)用戶2. 編輯服務(wù)用戶3. 點(diǎn)擊“環(huán)境”-

7、命名corba 命名服務(wù)組4. 編輯服務(wù)組授權(quán)回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)2.5 【基本】全局安全性與java2安全配置項(xiàng)描述java 2安全性在 j2ee 基于角色的授權(quán)之上提供訪問控制保護(hù)的額外級別。它特別處理系統(tǒng)資源和 api 的保護(hù),不啟用java2 安全性會極大減弱應(yīng)用的安全強(qiáng)度.檢查方法1. 打開管理控制臺2. 點(diǎn)擊“安全性-”全局安全性”查看“啟用全局安全性”和“強(qiáng)制java 2安全性是否啟用操作步驟1. 打開管理控制臺2. 點(diǎn)擊“安全性”-”全局安全性”3. 勾選“啟用全局安全性”和“強(qiáng)制java 2安全性 回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)3. 日志配置

8、要求33.1 【基本】開啟應(yīng)用日志記錄配置項(xiàng)描述開啟websphere日志記錄，對設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄檢查方法以管理員身份打開管理控制臺，執(zhí)行：1。 查看設(shè)置日志的輸出屬性： 在導(dǎo)航窗格中,單擊服務(wù)器 應(yīng)用程序服務(wù)器-單擊您要使用的服務(wù)器的名稱-在“故障診斷下面，單擊日志記錄和跟蹤單擊要配置的系統(tǒng)日志（診斷跟蹤、靜態(tài)更改，單擊配置選項(xiàng)卡，動態(tài)更改點(diǎn)擊”運(yùn)行時(shí)”選項(xiàng)卡. 2. 查看日志設(shè)置日志級別。 在導(dǎo)航窗格中，單擊服務(wù)器 應(yīng)用程序服務(wù)器-單擊您要使用的服務(wù)器的名稱。 在“故障診斷下面,單擊日志記錄和跟蹤,查看日志詳細(xì)信息級別。操作步驟要求啟用所有日志，并配置日志詳細(xì)

9、信息級別為=info： securitymanager=all： systemout=all回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)占用一定磁盤空間4. 服務(wù)配置要求44.1 【基本】禁止列表顯示文件配置項(xiàng)描述websphere文件訪問，禁止websphere列表顯示文件檢查方法查看fileservingenabled參數(shù)設(shè)置文件該文件位于 war 文件下的 webinf 擴(kuò)展中的 ibmweb-ext。xmi 文件中was_home/config/cells/hostname/applications/.war/web-inf/ibm-webext.xmi操作步驟修改fileservingena

10、bled參數(shù)設(shè)置為false該文件位于 war 文件下的 webinf 擴(kuò)展中的 ibm-web-ext.xmi 文件中was_home/config/cells/hostname/applications/.war/web-inf/ibmweb-ext。xmi要求fileservingenabled=”false”回退操作修改fileservingenabled參數(shù)設(shè)置為原有參數(shù)該文件位于 war 文件下的 webinf 擴(kuò)展中的 ibmwebext。xmi 文件中$was_home/profilepath/config/cells/hostname/applications/.ear/yo

11、urapplication。war/webinf/ibmweb-ext.xmi要求fileservingenabled=原有參數(shù)操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)4.2 【基本】禁止瀏覽列表顯示目錄配置項(xiàng)描述websphere目錄列出，禁止websphere瀏覽、列表顯示目錄檢查方法linux下：以root身份執(zhí)行：grep i directorybrowsingenabledwas_home/profilepath/config/cells/hostname/applications/。ear/yourapplication。war/webinf/ibmwebext。xmiwindows下：安裝路徑：appse

12、rverprofilesbbsconfigcellshostnameapplicationsyourapplication.ear_waryourapplication。warwebinfibm-web-ext.xmi操作步驟要求directorybrowsingenabled=”false”回退操作directorybrowsingenabled=原有參數(shù)操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)4.3 【基本】刪除示例程序配置項(xiàng)描述websphere示例程序刪除，防止攻擊者利用默認(rèn)的實(shí)例程序，威脅系統(tǒng)安全檢查方法以管理員身份打開管理控制臺,執(zhí)行：1。 點(diǎn)擊“應(yīng)用程序”企業(yè)應(yīng)用程序”操作步驟刪除” defaultapp

13、lication、 “plantsbywebsphere “、 “samplesgallery、“ivtapp”等例子程序 回退操作無操作風(fēng)險(xiǎn)需確認(rèn)例子程序是否有用途4.4 【基本】控制臺超時(shí)設(shè)置配置項(xiàng)描述websphere控制臺超時(shí)設(shè)置檢查方法1。用文本編輯器打開文件$was_home/systemapps/adminconsole。ear/deployment.xml查看invalidationtimeout的值操作步驟invalidationtimeout的值不得大于10回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)4.5 【基本】更新websphere補(bǔ)丁配置項(xiàng)描述及時(shí)更新webspher

14、e補(bǔ)丁，修復(fù)系統(tǒng)漏洞,提高系統(tǒng)穩(wěn)定性 檢查方法l linux下:以root權(quán)限執(zhí)行查看命令(包含補(bǔ)丁安裝信息）：was_home/bin/versioninfo.sh was_home/bin/historyinfo。sh was_home/bin/genhistoryreport。shwas_home/bin /genversionreport。shl windows下：查看文件c:websphereappserverpropertiescomibmwebsphereproduct。xml，確定版本信息操作步驟要求websphere更新了必要的補(bǔ)丁,要求補(bǔ)丁更新至最新回退操作回退版本操作風(fēng)險(xiǎn)

15、未經(jīng)測試的補(bǔ)丁可能導(dǎo)致系統(tǒng)不可用4.6 【基本】備份容錯(cuò)配置項(xiàng)描述開啟websphere備份容錯(cuò)功能檢查方法訪談與實(shí)地了解針對web應(yīng)用的當(dāng)前備份容錯(cuò)機(jī)制操作步驟要求備份容錯(cuò)機(jī)制中針對配置文件、主程序等的備份周期,介質(zhì)及內(nèi)容達(dá)到web應(yīng)用需求回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)4.7 設(shè)置錯(cuò)誤頁面配置項(xiàng)描述將websphere錯(cuò)誤頁面指向自定義頁面檢查方法l linux下：以root身份執(zhí)行：grep i defaulterrorpagewas_home/profilepath/config/cells/applications/yourapplication。ear/.war/web-

16、inf/ibmweb-ext.xmil windows下：安裝路徑/ibm http server/conf/httpd。conf,檢查500、404、402等錯(cuò)誤頁面配置操作步驟要求將配置文件中defaulterrorpage=設(shè)置為定義錯(cuò)誤頁面回退操作恢復(fù)默認(rèn)配置操作風(fēng)險(xiǎn)系統(tǒng)通常會限制錯(cuò)誤頁面大小，超過一定大小的錯(cuò)誤頁面無法正常顯示4.8 配置ssl訪問配置項(xiàng)描述配置ssl協(xié)議，確保敏感數(shù)據(jù)的傳輸安全檢查方法l linux下:netstat an|grep 443l windows下：netstat aon|findstr 443查看443端口是否被占用操作步驟創(chuàng)建證書1. 從ibm ht

17、tp server 6。0打開“密鑰管理實(shí)用程序”2. 在菜單欄單擊 “密鑰管理實(shí)用程序”點(diǎn)擊新建，創(chuàng)建“密鑰數(shù)據(jù)庫文件3. 選擇cms類型，文件名wcmkey.kdb，位置選在ibmihs安裝目錄的etc目錄下，點(diǎn)擊確定,出現(xiàn)輸入密碼界面4. 填好密碼、到期時(shí)間和密碼存儲方式后,點(diǎn)擊確定，然后點(diǎn)擊“創(chuàng)建菜單，選擇“創(chuàng)建自簽署證書”5. 填好證書資料后，點(diǎn)擊確定,創(chuàng)建自簽署證書成功了。下面將證書導(dǎo)出為p12格式的證書文件6. 輸入證書密碼后，導(dǎo)出證書就成功了，這樣客戶機(jī)訪問的時(shí)候，直接將證書導(dǎo)入或安裝就可以了配置ibmihs的配置文件httpd.conf添加如下配置代碼loadmodule d

18、eflate_module modules/mod_deflate.so#addoutputfilterbytype deflate text/html text/plain text/xmllisten 29:80listen 34：443alias /webpic ”f:/trswcm/webpic.ear/webpic。waralias /pub f:/trswcm/pub.ear/pub.waralias /template ”f：/trswcm/template。ear/template。waraddtype text/html 。htmaddhandler server-parsed .htmaddtype text/html .aspaddhandler server-parsed .aspvirtualhost 218.73.64。134:443documentroot ”f:/trswcm/pub.ear/pub.wardirectoryindex index.html index.html.varloadmodule ibm_ssl_module mod