WebSphere-Web服務(wù)器安全配置基線

1、WebSphere Web 服務(wù)器安全配置基線中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部2012年04月版本版本控制信息更新日期更新人審批人創(chuàng)建2009年1月更新2012年4月備注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格，否則刪除版本控制表格。第1章概述錯(cuò)誤!未定義書(shū)簽。目的錯(cuò)誤!未定義書(shū)簽。適用范圍錯(cuò)誤!未定義書(shū)簽e適用版本錯(cuò)誤!未定義書(shū)簽。實(shí)施錯(cuò)誤!未定義書(shū)簽.例外條款錯(cuò)誤!未定義書(shū)簽。第2章帳號(hào)管理、認(rèn)證授權(quán)錯(cuò)誤!未定義書(shū)簽。帳號(hào)錯(cuò)誤!未定義書(shū)簽。應(yīng)用程杼角色錯(cuò)誤!未定義書(shū)簽?？刂婆_(tái)帳號(hào)安全錯(cuò)誤!未定義書(shū)簽?？诹罟芾礤e(cuò)誤!未定義書(shū)簽。密碼復(fù)雜度錯(cuò)誤!未定義書(shū)簽，認(rèn)證授權(quán)錯(cuò)誤!未定義書(shū)

2、簽?？刂婆_(tái)安全錯(cuò)誤!未定義書(shū)簽。全局安全性與Java2安全錯(cuò)誤!未定義書(shū)簽。第3章日志配置操作錯(cuò)誤!未定義書(shū)簽。日志配置錯(cuò)誤!未定義書(shū)簽.日志與記錄錯(cuò)誤!未定義書(shū)簽。第4章備份容錯(cuò)錯(cuò)誤!未定義書(shū)簽。備份容錯(cuò)錯(cuò)誤!未定義書(shū)簽.第5章設(shè)備其他配置操作錯(cuò)誤!未定義書(shū)簽。安全管理錯(cuò)誤!未定義書(shū)簽?？刂婆_(tái)超時(shí)設(shè)置錯(cuò)誤!未定義書(shū)簽。示例程序刪除錯(cuò)誤!未定義書(shū)簽。錯(cuò)誤頁(yè)面處理錯(cuò)誤!未定義書(shū)簽。文件訪問(wèn)限制錯(cuò)誤!未定義書(shū)簽。目錄列出訪問(wèn)限制 錯(cuò)誤!未定義書(shū)簽.控制目錄權(quán)限錯(cuò)誤!未定義書(shū)簽.補(bǔ)丁管理*錯(cuò)誤!未定義書(shū)簽。第6章評(píng)審與修訂錯(cuò)誤!未定義書(shū)簽。第1章概述1.1目的本文檔規(guī)定了中國(guó)移動(dòng)通信有限公司管理信息

3、系統(tǒng)部門(mén)所維護(hù)管理的WebSphere Web 服務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行WebSphere Web服務(wù) 器的安全配置°1.2適用范本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國(guó)移動(dòng)總部和各省公司信息化部門(mén)維護(hù)管理的WebSphere Web服務(wù)器系統(tǒng)。1.3適用版本版本的WebSphere Web服務(wù)器01-4實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過(guò)程中若 有任何疑問(wèn)或建議，應(yīng)及時(shí)反饋,本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備

4、書(shū)而申請(qǐng)文件，說(shuō)明業(yè)務(wù)需求和原因，送交 中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。第2章帳號(hào)管理、認(rèn)證授權(quán)2.1帳號(hào)2.L1應(yīng)用程序角色安全基線項(xiàng) 目名稱(chēng)WebSphere應(yīng)用程序角色安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-02-01-01安全基線項(xiàng) 說(shuō)明要求為應(yīng)用用戶定義合適的角色檢測(cè)操作步 驟以管理員身份打開(kāi)管理控制臺(tái),執(zhí)行：1 .點(diǎn)擊“應(yīng)用程序”一”企業(yè)應(yīng)用程序”2 .雙擊要查看的應(yīng)用程序3 .點(diǎn)擊“其它屬性”中的”映射安全性角色到用戶/組”基線符合性 判定依據(jù)要求安全角色映射到“每個(gè)用戶”、”所有已認(rèn)證用戶”、“已映射的用戶”、 “已映射的組”備注2.1.2控制臺(tái)

5、帳號(hào)安全安全基線項(xiàng) 目名稱(chēng)WebSphere控制臺(tái)帳號(hào)安全安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-02-01-02安全基線項(xiàng) 說(shuō)明特權(quán)管理帳號(hào)在多個(gè)用戶間共享，會(huì)引發(fā)很多安全問(wèn)題，企業(yè)無(wú)法控制配置 上的安全,不易定位安全事件責(zé)任人,同時(shí)特權(quán)帳號(hào)非法使用者還可抹去審計(jì) 信息檢測(cè)操作步 鼻以管理員身份打開(kāi)管理控制臺(tái),執(zhí)行：1 .點(diǎn)擊“系統(tǒng)管理控制臺(tái)設(shè)置”“控制臺(tái)用戶”2 .點(diǎn)擊要查看的用戶名3 .查看用戶所屬組基線符合性 判定依據(jù)要求不得出現(xiàn)共用特權(quán)管理帳號(hào)，管理帳號(hào)必須按角色分配用戶角色為 monitor （監(jiān)控員）、Configurator （配置員）、Operator （操作

6、員） Administrator （管理員）之一備注2.L3 口令管理安全基線項(xiàng) 目名稱(chēng)WebSphere 口令安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-02-01-03安全基線項(xiàng) 說(shuō)明不得在自動(dòng)運(yùn)行腳本、控制命令等地方出現(xiàn)Websphere明文口令，例如cron 腳本檢測(cè)操作步 9R以root身份執(zhí)行：#ps - ef grep - i WebSphere#su - WebSphere_username - c crontab - 1"Scrontab -1基線符合性 判定依據(jù)要求回顯內(nèi)容中不含口令字備注2. L 4密碼復(fù)雜度安全基線項(xiàng) 目名稱(chēng)WebSphere密碼復(fù)

7、雜度安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-02-01-04安全基線項(xiàng) 說(shuō)明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě) 字母、大寫(xiě)字母和特殊符號(hào)四類(lèi)中至少兩類(lèi)。且5次以內(nèi)不得設(shè)置相同的口 令。密碼應(yīng)至少每90天進(jìn)行更換。檢測(cè)操作步 91、參考配置操作查看WebSphere安裝目錄下的配置文件2、補(bǔ)充操作說(shuō)明口令要求：口令長(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符 號(hào)四類(lèi)中至少兩類(lèi)。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn) 行更換?；€符合性 判定依據(jù)1、判定條件備注2.2認(rèn)證授權(quán)2. 2.1控制臺(tái)安全安全基線項(xiàng) 目名稱(chēng)WebSpher

8、e控制臺(tái)安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-02-02-01安全基線項(xiàng) 說(shuō)明Cosnaming服務(wù)權(quán)限設(shè)置過(guò)大會(huì)引入安全隱患檢測(cè)操作步 X以管理員身份打開(kāi)管理控制臺(tái),執(zhí)行：1 .點(diǎn)擊“環(huán)境”一命名一CORBA命名服務(wù)用戶2 .查看服務(wù)用戶3 .點(diǎn)擊“環(huán)境”一命名一CORBA命名服務(wù)組4 .查看服務(wù)組授權(quán)基線符合性 判定依據(jù)要求EVERYONE組已刪除，并且ALL_AUTHENTICATED組角色僅設(shè)為"控制臺(tái)命 名讀”備注2. 2. 2全局安全性與Java2安全安全基線項(xiàng) 目名稱(chēng)WebSphere全局安全性與Java2安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSp

9、here-02-02-02安全基線項(xiàng) 說(shuō)明啟用全局安全性，控制登錄管理控制臺(tái)，同時(shí)應(yīng)用程序?qū)⒖梢允褂肳ebSphere 的安全特性,Java 2安全性在J2EE基于角色的授權(quán)之上提供訪問(wèn)控制保護(hù) 的額外級(jí)別。它特別處理系統(tǒng)資源和API的保護(hù)，不啟用Java2安全性會(huì) 極大減弱應(yīng)用的安全強(qiáng)度。檢測(cè)操作步 鼻1 .打開(kāi)管理控制臺(tái)2 .點(diǎn)擊“安全性” 一"全局安全性”查看“啟用全局安全性”和“強(qiáng)制Java 2安全性”是否啟用基線符合性 判定依據(jù)要求“啟用全局安全性”和“強(qiáng)制Java 2安全性”啟用備注第3章日志配置操作3.1日志配置3. 1. 1日志與記錄安全基線項(xiàng) 目名稱(chēng)WebSpher

10、e日志記錄安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-03-01-01安全基線項(xiàng) 說(shuō)明啟用日志可以回溯事件進(jìn)行檢查或?qū)徲?jì)，日志詳細(xì)信息級(jí)別如果配置不當(dāng)， 會(huì)缺少必要的審計(jì)信息檢測(cè)操作步 *以管理員身份打開(kāi)管理控制臺(tái),執(zhí)行：1 .查看設(shè)置日志的輸出屬性：在導(dǎo)航窗格中，單擊服務(wù)器 > 應(yīng)用程序服務(wù)器一單擊您要使用的服務(wù)器 的名稱(chēng)一在“故障診斷”下面，單擊日志記錄和跟蹤一單擊要配置的系統(tǒng) 日志（診斷跟蹤、靜態(tài)更改，單擊“配置”選項(xiàng)卡，動(dòng)態(tài)更改點(diǎn)擊“運(yùn)行時(shí)” 選項(xiàng)卡。2 .查看日志設(shè)置日志級(jí)別。在導(dǎo)航窗格中，單擊服務(wù)器 > 應(yīng)用程序服務(wù)器一單擊您要使用的服務(wù)器的 名稱(chēng)。>

11、在“故障診斷”下面，單擊日志記錄和跟蹤，查看日志詳細(xì)信息級(jí)別基線符合性 判定依據(jù)要求啟用所有日志，并配置日志詳細(xì)信息級(jí)別為*=info：SecurityManager=all: SystemOut=all備注第4章備份容錯(cuò)4.1備份容錯(cuò)安全基線項(xiàng) 目名稱(chēng)WebSphere備份容錯(cuò)安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-04-01-01安全基線項(xiàng) 說(shuō)明某非法操作或誤操作可能導(dǎo)致服務(wù)器崩潰，需要對(duì)WebSphere的配置文件進(jìn) 行日常備份保護(hù)，保證應(yīng)用系統(tǒng)的可用性.檢測(cè)操作步 驟訪談與實(shí)地了解針對(duì)Web應(yīng)用的當(dāng)前備份容錯(cuò)機(jī)制基線符合性 判定依據(jù)要求備份容錯(cuò)機(jī)制中針對(duì)配置文件、主程序

12、等的備份周期，介質(zhì)及內(nèi)容達(dá)到 Web應(yīng)用需求備注第5章設(shè)備其他配置操作5.1 安全管理5.1.1 控制臺(tái)超時(shí)設(shè)置安全基線項(xiàng) 目名稱(chēng)WebSphere控制臺(tái)超時(shí)設(shè)置安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-05-01-01安全基線項(xiàng) 說(shuō)明控制臺(tái)會(huì)話默認(rèn)30分鐘timeout,要求設(shè)置不大于10分鐘檢測(cè)操作步 *1.用文本編輯器打開(kāi)文件 $WAS_H0ME/systemApps/ 查看 invalidation!imeout 的值基線符合性 判定依據(jù)inva 1 idation!imeout 的值不得大于 30備注5.1.2 示例程序刪除安全基線項(xiàng) 目名稱(chēng)WebSphere示例程序刪

13、除安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-05-01-02安全基線項(xiàng) 說(shuō)明sample例子程序會(huì)淮露系統(tǒng)敏感信息，存在較大的安全隱患檢測(cè)操作步 W以管理員身份打開(kāi)管理控制臺(tái),執(zhí)行：1.點(diǎn)擊“應(yīng)用程序” 一”企業(yè)應(yīng)用程序”基線符合性 判定依據(jù)不得存在" DefaultApplication'uPlantsByWebSphere "、uSamplesGallery uivtApp0 等例子程序備注5.L3錯(cuò)誤頁(yè)面處理安全基線項(xiàng) 目名稱(chēng)WebSphere錯(cuò)誤頁(yè)面安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-05-01-03安全基線項(xiàng) 說(shuō)明如果沒(méi)有

14、定義默認(rèn)錯(cuò)誤網(wǎng)頁(yè)，則當(dāng)應(yīng)用程序出錯(cuò)時(shí)會(huì)顯示內(nèi)部出錯(cuò)信息，暴露 系統(tǒng)和應(yīng)用的敏感信息檢測(cè)操作步 X以root身份執(zhí)行：grep -i defaultErrorPage$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>. ear/<yourapplication>. war/WEB-INF/基線符合性 判定依據(jù)要求defaultErrorPage二設(shè)置為定義錯(cuò)誤頁(yè)而備注5.L4文件訪問(wèn)限制安全基線項(xiàng) 目名稱(chēng)WebSphere文件訪問(wèn)安全基線要求項(xiàng)

15、安全基線編 號(hào)SBL-WebSphere-05-01-04安全基線項(xiàng) 說(shuō)明禁止WebSphere列表顯示文件檢測(cè)操作步 鼻以root身份執(zhí)行：grep - i f i1eServingEnabled$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>. ear/<yourapp1ication>. war/WEB-INF/基線符合性 判定依據(jù)要求 fi 1 eServingEnab 1 ed= M false"備注5.1.5目錄列出訪

16、問(wèn)限制安全基線項(xiàng) 目名稱(chēng)WebSphere目錄列出安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-05-01-05安全基線項(xiàng) 說(shuō)明禁止WebSphere瀏覽、列表顯示目錄檢測(cè)操作步 9以root身份執(zhí)行：grep - i directoryBrowsingEnabled$WAS_H0ME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>. ear/<yourapplication>. war/WEB-INF/基線符合性 判定依據(jù)要求 directoryBrowsingEnabled= M false"備注5.1.6控制目錄權(quán)限安全基線項(xiàng) 目名稱(chēng)WebSphere控制目錄權(quán)限安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-05-01-06安全基線項(xiàng) 說(shuō)明config和properties等控制目錄權(quán)限不當(dāng)會(huì)導(dǎo)致嚴(yán)重后果檢測(cè)操作步 驟檢查config與properties目錄及子目錄訪問(wèn)權(quán)限基線符合性 判定依據(jù)要求該目錄僅能root權(quán)限可寫(xiě)，一般目錄設(shè)置權(quán)限750備注5.L7補(bǔ)丁管理*安全基線項(xiàng) 目名稱(chēng)Web