WebSphere-Web服務器安全配置基線

1、WebSphere Web 服務器安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2012年04月版本版本控制信息更新日期更新人審批人創(chuàng)建2009年1月更新2012年4月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。第1章概述錯誤!未定義書簽。目的錯誤!未定義書簽。適用范圍錯誤!未定義書簽e適用版本錯誤!未定義書簽。實施錯誤!未定義書簽.例外條款錯誤!未定義書簽。第2章帳號管理、認證授權錯誤!未定義書簽。帳號錯誤!未定義書簽。應用程杼角色錯誤!未定義書簽。控制臺帳號安全錯誤!未定義書簽。口令管理錯誤!未定義書簽。密碼復雜度錯誤!未定義書簽，認證授權錯誤!未定義書

2、簽?？刂婆_安全錯誤!未定義書簽。全局安全性與Java2安全錯誤!未定義書簽。第3章日志配置操作錯誤!未定義書簽。日志配置錯誤!未定義書簽.日志與記錄錯誤!未定義書簽。第4章備份容錯錯誤!未定義書簽。備份容錯錯誤!未定義書簽.第5章設備其他配置操作錯誤!未定義書簽。安全管理錯誤!未定義書簽?？刂婆_超時設置錯誤!未定義書簽。示例程序刪除錯誤!未定義書簽。錯誤頁面處理錯誤!未定義書簽。文件訪問限制錯誤!未定義書簽。目錄列出訪問限制 錯誤!未定義書簽.控制目錄權限錯誤!未定義書簽.補丁管理*錯誤!未定義書簽。第6章評審與修訂錯誤!未定義書簽。第1章概述1.1目的本文檔規(guī)定了中國移動通信有限公司管理信息

3、系統(tǒng)部門所維護管理的WebSphere Web 服務器應當遵循的安全性設置標準，本文檔旨在指導系統(tǒng)管理人員進行WebSphere Web服務 器的安全配置°1.2適用范本配置標準的使用者包括：服務器系統(tǒng)管理員、應用管理員、網(wǎng)絡安全管理員。本配置標準適用的范圍包括：中國移動總部和各省公司信息化部門維護管理的WebSphere Web服務器系統(tǒng)。1.3適用版本版本的WebSphere Web服務器01-4實施本標準的解釋權和修改權屬于中國移動集團管理信息系統(tǒng)部，在本標準的執(zhí)行過程中若 有任何疑問或建議，應及時反饋,本標準發(fā)布之日起生效。1.5例外條款欲申請本標準的例外條款，申請人必須準備

4、書而申請文件，說明業(yè)務需求和原因，送交 中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。第2章帳號管理、認證授權2.1帳號2.L1應用程序角色安全基線項 目名稱WebSphere應用程序角色安全基線要求項安全基線編 號SBL-WebSphere-02-01-01安全基線項 說明要求為應用用戶定義合適的角色檢測操作步 驟以管理員身份打開管理控制臺,執(zhí)行：1 .點擊“應用程序”一”企業(yè)應用程序”2 .雙擊要查看的應用程序3 .點擊“其它屬性”中的”映射安全性角色到用戶/組”基線符合性 判定依據(jù)要求安全角色映射到“每個用戶”、”所有已認證用戶”、“已映射的用戶”、 “已映射的組”備注2.1.2控制臺

5、帳號安全安全基線項 目名稱WebSphere控制臺帳號安全安全基線要求項安全基線編 號SBL-WebSphere-02-01-02安全基線項 說明特權管理帳號在多個用戶間共享，會引發(fā)很多安全問題，企業(yè)無法控制配置 上的安全,不易定位安全事件責任人,同時特權帳號非法使用者還可抹去審計 信息檢測操作步 鼻以管理員身份打開管理控制臺,執(zhí)行：1 .點擊“系統(tǒng)管理控制臺設置”“控制臺用戶”2 .點擊要查看的用戶名3 .查看用戶所屬組基線符合性 判定依據(jù)要求不得出現(xiàn)共用特權管理帳號，管理帳號必須按角色分配用戶角色為 monitor （監(jiān)控員）、Configurator （配置員）、Operator （操作

6、員） Administrator （管理員）之一備注2.L3 口令管理安全基線項 目名稱WebSphere 口令安全基線要求項安全基線編 號SBL-WebSphere-02-01-03安全基線項 說明不得在自動運行腳本、控制命令等地方出現(xiàn)Websphere明文口令，例如cron 腳本檢測操作步 9R以root身份執(zhí)行：#ps - ef grep - i WebSphere#su - WebSphere_username - c crontab - 1"Scrontab -1基線符合性 判定依據(jù)要求回顯內容中不含口令字備注2. L 4密碼復雜度安全基線項 目名稱WebSphere密碼復

7、雜度安全基線要求項安全基線編 號SBL-WebSphere-02-01-04安全基線項 說明對于采用靜態(tài)口令認證技術的設備，口令長度至少8位，并包括數(shù)字、小寫 字母、大寫字母和特殊符號四類中至少兩類。且5次以內不得設置相同的口 令。密碼應至少每90天進行更換。檢測操作步 91、參考配置操作查看WebSphere安裝目錄下的配置文件2、補充操作說明口令要求：口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符 號四類中至少兩類。且5次以內不得設置相同的口令。密碼應至少每90天進 行更換?；€符合性 判定依據(jù)1、判定條件備注2.2認證授權2. 2.1控制臺安全安全基線項 目名稱WebSpher

8、e控制臺安全基線要求項安全基線編 號SBL-WebSphere-02-02-01安全基線項 說明Cosnaming服務權限設置過大會引入安全隱患檢測操作步 X以管理員身份打開管理控制臺,執(zhí)行：1 .點擊“環(huán)境”一命名一CORBA命名服務用戶2 .查看服務用戶3 .點擊“環(huán)境”一命名一CORBA命名服務組4 .查看服務組授權基線符合性 判定依據(jù)要求EVERYONE組已刪除，并且ALL_AUTHENTICATED組角色僅設為"控制臺命 名讀”備注2. 2. 2全局安全性與Java2安全安全基線項 目名稱WebSphere全局安全性與Java2安全基線要求項安全基線編 號SBL-WebSp

9、here-02-02-02安全基線項 說明啟用全局安全性，控制登錄管理控制臺，同時應用程序將可以使用WebSphere 的安全特性,Java 2安全性在J2EE基于角色的授權之上提供訪問控制保護 的額外級別。它特別處理系統(tǒng)資源和API的保護，不啟用Java2安全性會 極大減弱應用的安全強度。檢測操作步 鼻1 .打開管理控制臺2 .點擊“安全性” 一"全局安全性”查看“啟用全局安全性”和“強制Java 2安全性”是否啟用基線符合性 判定依據(jù)要求“啟用全局安全性”和“強制Java 2安全性”啟用備注第3章日志配置操作3.1日志配置3. 1. 1日志與記錄安全基線項 目名稱WebSpher

10、e日志記錄安全基線要求項安全基線編 號SBL-WebSphere-03-01-01安全基線項 說明啟用日志可以回溯事件進行檢查或審計，日志詳細信息級別如果配置不當， 會缺少必要的審計信息檢測操作步 *以管理員身份打開管理控制臺,執(zhí)行：1 .查看設置日志的輸出屬性：在導航窗格中，單擊服務器 > 應用程序服務器一單擊您要使用的服務器 的名稱一在“故障診斷”下面，單擊日志記錄和跟蹤一單擊要配置的系統(tǒng) 日志（診斷跟蹤、靜態(tài)更改，單擊“配置”選項卡，動態(tài)更改點擊“運行時” 選項卡。2 .查看日志設置日志級別。在導航窗格中，單擊服務器 > 應用程序服務器一單擊您要使用的服務器的 名稱。>

11、在“故障診斷”下面，單擊日志記錄和跟蹤，查看日志詳細信息級別基線符合性 判定依據(jù)要求啟用所有日志，并配置日志詳細信息級別為*=info：SecurityManager=all: SystemOut=all備注第4章備份容錯4.1備份容錯安全基線項 目名稱WebSphere備份容錯安全基線要求項安全基線編 號SBL-WebSphere-04-01-01安全基線項 說明某非法操作或誤操作可能導致服務器崩潰，需要對WebSphere的配置文件進 行日常備份保護，保證應用系統(tǒng)的可用性.檢測操作步 驟訪談與實地了解針對Web應用的當前備份容錯機制基線符合性 判定依據(jù)要求備份容錯機制中針對配置文件、主程序

12、等的備份周期，介質及內容達到 Web應用需求備注第5章設備其他配置操作5.1 安全管理5.1.1 控制臺超時設置安全基線項 目名稱WebSphere控制臺超時設置安全基線要求項安全基線編 號SBL-WebSphere-05-01-01安全基線項 說明控制臺會話默認30分鐘timeout,要求設置不大于10分鐘檢測操作步 *1.用文本編輯器打開文件 $WAS_H0ME/systemApps/ 查看 invalidation!imeout 的值基線符合性 判定依據(jù)inva 1 idation!imeout 的值不得大于 30備注5.1.2 示例程序刪除安全基線項 目名稱WebSphere示例程序刪

13、除安全基線要求項安全基線編 號SBL-WebSphere-05-01-02安全基線項 說明sample例子程序會淮露系統(tǒng)敏感信息，存在較大的安全隱患檢測操作步 W以管理員身份打開管理控制臺,執(zhí)行：1.點擊“應用程序” 一”企業(yè)應用程序”基線符合性 判定依據(jù)不得存在" DefaultApplication'uPlantsByWebSphere "、uSamplesGallery uivtApp0 等例子程序備注5.L3錯誤頁面處理安全基線項 目名稱WebSphere錯誤頁面安全基線要求項安全基線編 號SBL-WebSphere-05-01-03安全基線項 說明如果沒有

14、定義默認錯誤網(wǎng)頁，則當應用程序出錯時會顯示內部出錯信息，暴露 系統(tǒng)和應用的敏感信息檢測操作步 X以root身份執(zhí)行：grep -i defaultErrorPage$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>. ear/<yourapplication>. war/WEB-INF/基線符合性 判定依據(jù)要求defaultErrorPage二設置為定義錯誤頁而備注5.L4文件訪問限制安全基線項 目名稱WebSphere文件訪問安全基線要求項

15、安全基線編 號SBL-WebSphere-05-01-04安全基線項 說明禁止WebSphere列表顯示文件檢測操作步 鼻以root身份執(zhí)行：grep - i f i1eServingEnabled$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>. ear/<yourapp1ication>. war/WEB-INF/基線符合性 判定依據(jù)要求 fi 1 eServingEnab 1 ed= M false"備注5.1.5目錄列出訪

16、問限制安全基線項 目名稱WebSphere目錄列出安全基線要求項安全基線編 號SBL-WebSphere-05-01-05安全基線項 說明禁止WebSphere瀏覽、列表顯示目錄檢測操作步 9以root身份執(zhí)行：grep - i directoryBrowsingEnabled$WAS_H0ME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>. ear/<yourapplication>. war/WEB-INF/基線符合性 判定依據(jù)要求 directoryBrowsingEnabled= M false"備注5.1.6控制目錄權限安全基線項 目名稱WebSphere控制目錄權限安全基線要求項安全基線編 號SBL-WebSphere-05-01-06安全基線項 說明config和properties等控制目錄權限不當會導致嚴重后果檢測操作步 驟檢查config與properties目錄及子目錄訪問權限基線符合性 判定依據(jù)要求該目錄僅能root權限可寫，一般目錄設置權限750備注5.L7補丁管理*安全基線項 目名稱Web