系統(tǒng)安全配置技術(shù)規(guī)范-Websphere

..系統(tǒng)安全配置技術(shù)規(guī)范—Websphere版本V0.9日期2013-06-03文檔編號(hào)文檔發(fā)布文檔說明〔一變更信息版本號(hào)變更日期變更者變更理由/變更內(nèi)容備注〔二文檔審核人姓名職位簽名日期

目錄1.適用范圍42.帳號(hào)管理與授權(quán)42.1[基本]控制臺(tái)帳號(hào)安全42.2[基本]帳號(hào)的口令安全42.3[基本]為應(yīng)用用戶定義合適的角色52.4[基本]控制臺(tái)安全52.5[基本]全局安全性與Java2安全63.日志配置要求63.1[基本]開啟應(yīng)用日志記錄64.服務(wù)配置要求74.1[基本]禁止列表顯示文件74.2[基本]禁止瀏覽列表顯示目錄74.3[基本]刪除示例程序84.4[基本]控制臺(tái)超時(shí)設(shè)置84.5[基本]更新WebSphere補(bǔ)丁84.6[基本]備份容錯(cuò)94.7設(shè)置錯(cuò)誤頁面94.8配置SSL訪問94.9控制目錄權(quán)限115.操作系統(tǒng)配置要求11適用范圍如無特殊說明,本規(guī)范所有配置項(xiàng)適用于IBMWebSphereApplicationServer<WAS>6.x,7.x,8.x版本。其中標(biāo)示為"基本"字樣的配置項(xiàng),均為本公司對(duì)此類系統(tǒng)的基本安全配置要求；未標(biāo)示"基本"字樣的配置項(xiàng),請各系統(tǒng)管理員視實(shí)際需求酌情遵從。帳號(hào)管理與授權(quán)[基本]控制臺(tái)帳號(hào)安全配置項(xiàng)描述配置WebSphere控制臺(tái)帳號(hào)安全,要求按權(quán)利需要分配不同用戶角色,同時(shí)保證權(quán)限最小化檢查方法以管理員身份打開管理控制臺(tái),執(zhí)行：點(diǎn)擊"系統(tǒng)管理"-->"控制臺(tái)設(shè)置"-->"控制臺(tái)用戶"點(diǎn)擊要查看的用戶名查看用戶所屬組操作步驟要求不得出現(xiàn)共用特權(quán)管理帳號(hào),管理帳號(hào)必須按角色分配用戶角色為monitor〔監(jiān)控員、Configurator<配置員>、Operator〔操作員Administrator<管理員>之回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)[基本]帳號(hào)的口令安全配置項(xiàng)描述配置WebSphere口令安全,要求用戶口令至少6位,包括大小寫,數(shù)字和符號(hào)中的至少兩種檢查方法詢問管理員是否存在如下類似的簡單用戶密碼配置,比如：Test、netscreen、admin、root1234操作步驟檢查用戶口令的設(shè)置情況,檢查是否存在簡單密碼。要求密碼長度最少為6位,包含大小寫字母、數(shù)字和特殊符號(hào),密碼變更周期。回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)[基本]為應(yīng)用用戶定義合適的角色配置項(xiàng)描述為應(yīng)用用戶定義合適的角色,根據(jù)用戶的需求,為用戶分配不同的權(quán)限檢查方法以管理員身份打開管理控制臺(tái),執(zhí)行：點(diǎn)擊"應(yīng)用程序"-->"企業(yè)應(yīng)用程序"雙擊要查看的應(yīng)用程序點(diǎn)擊"其它屬性"中的"映射安全性角色到用戶/組"操作步驟要求安全角色映射到"每個(gè)用戶"、"所有已認(rèn)證用戶"、"已映射的用戶"、"已映射的組"以管理員身份打開管理控制臺(tái),執(zhí)行：點(diǎn)擊"應(yīng)用程序"-->"企業(yè)應(yīng)用程序"雙擊要查看的應(yīng)用程序點(diǎn)擊"其它屬性"中的"映射安全性角色到用戶/組",編輯用戶角色回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)需要確認(rèn)應(yīng)用程序用戶角色[基本]控制臺(tái)安全配置項(xiàng)描述設(shè)置WebSphere控制臺(tái)安全,要求EVERYONE組已刪除,并且ALL_AUTHENTICATED組角色僅設(shè)為"控制臺(tái)命名讀"檢查方法以管理員身份打開管理控制臺(tái),執(zhí)行：點(diǎn)擊"環(huán)境"-->命名-->CORBA命名服務(wù)用戶查看服務(wù)用戶點(diǎn)擊"環(huán)境"-->命名-->CORBA命名服務(wù)組查看服務(wù)組授權(quán)操作步驟以管理員身份打開管理控制臺(tái),執(zhí)行：點(diǎn)擊"環(huán)境"-->命名-->CORBA命名服務(wù)用戶編輯服務(wù)用戶點(diǎn)擊"環(huán)境"-->命名-->CORBA命名服務(wù)組編輯服務(wù)組授權(quán)回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)[基本]全局安全性與Java2安全配置項(xiàng)描述Java2安全性在J2EE基于角色的授權(quán)之上提供訪問控制保護(hù)的額外級(jí)別。它特別處理系統(tǒng)資源和API的保護(hù),不啟用Java2安全性會(huì)極大減弱應(yīng)用的安全強(qiáng)度。檢查方法打開管理控制臺(tái)點(diǎn)擊"安全性"-->"全局安全性"查看"啟用全局安全性"和"強(qiáng)制Java2安全性"是否啟用操作步驟打開管理控制臺(tái)點(diǎn)擊"安全性"-->"全局安全性"勾選"啟用全局安全性"和"強(qiáng)制Java2安全性"回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)日志配置要求[基本]開啟應(yīng)用日志記錄配置項(xiàng)描述開啟WebSphere日志記錄,對(duì)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄檢查方法以管理員身份打開管理控制臺(tái),執(zhí)行：1.查看設(shè)置日志的輸出屬性：在導(dǎo)航窗格中,單擊服務(wù)器>應(yīng)用程序服務(wù)器-->單擊您要使用的服務(wù)器的名稱-->在"故障診斷"下面,單擊日志記錄和跟蹤-->單擊要配置的系統(tǒng)日志〔診斷跟蹤、靜態(tài)更改,單擊"配置"選項(xiàng)卡,動(dòng)態(tài)更改點(diǎn)擊"運(yùn)行時(shí)"選項(xiàng)卡。2.查看日志設(shè)置日志級(jí)別。在導(dǎo)航窗格中,單擊服務(wù)器>應(yīng)用程序服務(wù)器-->單擊您要使用的服務(wù)器的名稱。-->在"故障診斷"下面,單擊日志記錄和跟蹤,查看日志詳細(xì)信息級(jí)別。操作步驟要求啟用所有日志,并配置日志詳細(xì)信息級(jí)別為*=info:SecurityManager=all:SystemOut=all回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)占用一定磁盤空間服務(wù)配置要求[基本]禁止列表顯示文件配置項(xiàng)描述WebSphere文件訪問,禁止WebSphere列表顯示文件檢查方法查看fileServingEnabled參數(shù)設(shè)置文件該文件位于WAR文件下的WEB-INF擴(kuò)展中的ibm-web-ext.xmi文件中$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi操作步驟修改fileServingEnabled參數(shù)設(shè)置為false該文件位于WAR文件下的WEB-INF擴(kuò)展中的ibm-web-ext.xmi文件中$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi要求fileServingEnabled="false"回退操作修改fileServingEnabled參數(shù)設(shè)置為原有參數(shù)該文件位于WAR文件下的WEB-INF擴(kuò)展中的ibm-web-ext.xmi文件中$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi要求fileServingEnabled=原有參數(shù)操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)[基本]禁止瀏覽列表顯示目錄配置項(xiàng)描述WebSphere目錄列出,禁止WebSphere瀏覽、列表顯示目錄檢查方法Linux下：以root身份執(zhí)行：grep–idirectoryBrowsingEnabled$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmiWindows下：安裝路徑：\AppServer\profiles\BBS\config\cells\<hostname>\applications\<yourapplication>.ear\<yourapplication>_war\<yourapplication>.war\WEB-INF\ibm-web-ext.xmi操作步驟要求directoryBrowsingEnabled="false"回退操作directoryBrowsingEnabled=原有參數(shù)操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)[基本]刪除示例程序配置項(xiàng)描述WebSphere示例程序刪除,防止攻擊者利用默認(rèn)的實(shí)例程序,威脅系統(tǒng)安全檢查方法以管理員身份打開管理控制臺(tái),執(zhí)行：1.點(diǎn)擊"應(yīng)用程序"-->"企業(yè)應(yīng)用程序"操作步驟刪除"DefaultApplication"、"PlantsByWebSphere"、"SamplesGallery"、"ivtApp"等例子程序回退操作無操作風(fēng)險(xiǎn)需確認(rèn)例子程序是否有用途[基本]控制臺(tái)超時(shí)設(shè)置配置項(xiàng)描述WebSphere控制臺(tái)超時(shí)設(shè)置檢查方法1.用文本編輯器打開文件$WAS_HOME/systemApps/adminconsole.ear/deployment.xml查看invalidationTimeout的值操作步驟invalidationTimeout的值不得大于10回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)[基本]更新WebSphere補(bǔ)丁配置項(xiàng)描述及時(shí)更新WebSphere補(bǔ)丁,修復(fù)系統(tǒng)漏洞,提高系統(tǒng)穩(wěn)定性檢查方法Linux下：以root權(quán)限執(zhí)行查看命令<包含補(bǔ)丁安裝信息>：$WAS_HOME/bin/versioninfo.sh

$WAS_HOME/bin/historyinfo.sh$WAS_HOME/bin/genHistoryReport.sh$WAS_HOME/bin/genVersionReport.shWindows下：查看文件c:\WebSphere\AppServer\properties\com\ibm\websphere\product.xml,確定版本信息操作步驟要求Websphere更新了必要的補(bǔ)丁,要求補(bǔ)丁更新至最新回退操作回退版本操作風(fēng)險(xiǎn)未經(jīng)測試的補(bǔ)丁可能導(dǎo)致系統(tǒng)不可用[基本]備份容錯(cuò)配置項(xiàng)描述開啟WebSphere備份容錯(cuò)功能檢查方法訪談與實(shí)地了解針對(duì)Web應(yīng)用的當(dāng)前備份容錯(cuò)機(jī)制操作步驟要求備份容錯(cuò)機(jī)制中針對(duì)配置文件、主程序等的備份周期,介質(zhì)及內(nèi)容達(dá)到Web應(yīng)用需求回退操作回退到原有的配置設(shè)置操作風(fēng)險(xiǎn)低風(fēng)險(xiǎn)設(shè)置錯(cuò)誤頁面配置項(xiàng)描述將WebSphere錯(cuò)誤頁面指向自定義頁面檢查方法Linux下：以root身份執(zhí)行:grep-idefaultErrorPage$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmiWindows下：安裝路徑/IBMServer/conf/d.conf,檢查500、404、402等錯(cuò)誤頁面配置操作步驟要求將配置文件中defaultErrorPage=設(shè)置為定義錯(cuò)誤頁面回退操作恢復(fù)默認(rèn)配置操作風(fēng)險(xiǎn)系統(tǒng)通常會(huì)限制錯(cuò)誤頁面大小,超過一定大小的錯(cuò)誤頁面無法正常顯示配置SSL訪問配置項(xiàng)描述配置SSL協(xié)議,確保敏感數(shù)據(jù)的傳輸安全檢查方法Linux下：netstat–an|grep443Windows下：netstat-aon|findstr"443"查看443端口是否被占用操作步驟創(chuàng)建證書從IBMServer6.0打開"密鑰管理實(shí)用程序"在菜單欄單擊"密鑰管理實(shí)用程序"點(diǎn)擊新建,創(chuàng)建"密鑰數(shù)據(jù)庫文件選擇CMS類型,文件名wcmkey.kdb,位置選在IBMIHS安裝目錄的etc目錄下,點(diǎn)擊確定,出現(xiàn)輸入密碼界面填好密碼、到期時(shí)間和密碼存儲(chǔ)方式后,點(diǎn)擊確定,然后點(diǎn)擊"創(chuàng)建"菜單,選擇"創(chuàng)建自簽署證書"填好證書資料后,點(diǎn)擊確定,創(chuàng)建自簽署證書成功了。下面將證書導(dǎo)出為p12格式的證書文件輸入證書密碼后,導(dǎo)出證書就成功了,這樣客戶機(jī)訪問的時(shí)候,直接將證書導(dǎo)入或安裝就可以了配置IBMIHS的配置文件d.conf添加如下配置代碼LoadModuledeflate_modulemodules/mod_deflate.so

#AddOutputFilterByTypeDEFLATEtext/htmltext/plaintext/xmlListen218.73.64.129:80

Listen218.73.64.134:443Alias/webpic"F:/trswcm/webpic.ear/webpic.war"

Alias/pub"F:/trswcm/pub.ear/pub.war"

Alias/template"F:/trswcm/template.ear/template.war"AddTypetext/html.htm

AddHandlerserver-parsed.htm

AddTypetext/html.asp

AddHandlerserver-parsed.asp<VirtualHost218.73.64.129:80>

DocumentRoot"F:/trswcm/pub.ear/pub.war"

DirectoryIndexindex.htmlindex.html.var

</VirtualHost><VirtualHost218.73.64.134:443>

DocumentRoot"F:/trswcm/pub.ear/pub.war"

DirectoryIndexinde