TongWeb 服務(wù)器安全配置基線

TongWeb服務(wù)器

安全配置基線

版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格，否則刪除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"適用范圍 1\o"CurrentDocument"適用版本 1\o"CurrentDocument"實(shí)施 1\o"CurrentDocument"例外條款 1\o"CurrentDocument"第2章賬號(hào)管理、認(rèn)證授權(quán) 1\o"CurrentDocument"帳號(hào) 1\o"CurrentDocument"應(yīng)用帳號(hào)分配 1\o"CurrentDocument"用戶口令設(shè)置 2\o"CurrentDocument"用戶帳號(hào)刪除 3\o"CurrentDocument"認(rèn)證授權(quán) 4\o"CurrentDocument"控制臺(tái)安全 4\o"CurrentDocument"第3章日志配置操作 6\o"CurrentDocument"日志配置 6\o"CurrentDocument"日志與記錄 6\o"CurrentDocument"第4章備份容錯(cuò) 8\o"CurrentDocument"備份容錯(cuò) 8\o"CurrentDocument"第5章 IP協(xié)議安全配置 9\o"CurrentDocument"IP通信安全協(xié)議 9\o"CurrentDocument"第6章 設(shè)備其他配置操作 11\o"CurrentDocument"安全管理 11\o"CurrentDocument"禁止應(yīng)用程序可顯 11\o"CurrentDocument"端口設(shè)置* 12\o"CurrentDocument"錯(cuò)誤頁(yè)面處理 13\o"CurrentDocument"第7章評(píng)審與修訂 15第1章概述1.1目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行TongWeb服務(wù)器的安全配置。1.2適用范|本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。1.3適用版本5.x版本的TongWeb服務(wù)器。1.4實(shí)施1.5例外條款第2章賬號(hào)管理、認(rèn)證授權(quán)2.1帳號(hào)2.1.1應(yīng)用帳號(hào)分配安全基線項(xiàng)目名稱TongWeb應(yīng)用帳號(hào)分配安全基線要求安全基線編號(hào)SBL-TongWeb-02-01-01安全基線項(xiàng)應(yīng)按照用戶分配賬號(hào)。避免不同用戶間共享賬號(hào)。避免用戶賬號(hào)和設(shè)備間通

2.1.2用戶口令設(shè)置安全基線項(xiàng)目名稱TongWeb用戶口令設(shè)置安全基線要求項(xiàng)

安全基線編號(hào)SBL-TongWeb-02-01-02安全基線項(xiàng)說(shuō)明對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)四類(lèi)中至少兩類(lèi)。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測(cè)操作步驟進(jìn)行口令的修改或者添加，如圖操作：I林配直"女球給偵生政"官穌尸|第一步：在列表中找到相 a■知 用戶ID 組列表廠 tongwebuserl 第二步：點(diǎn)擊用戶ID列下的用戶名tongwebuser tongweb新建 L + + 1n \ twns tongweb刪除 基本屆性.用戶IDtongwebuser組列表[tongweb新笛硯1 < 埴寫(xiě)新密碼并礪認(rèn)，保存即可確認(rèn)密碼1 1II 1保存愀消基線符合性判定依據(jù)1、 判定條件檢查帳號(hào)口令是否符合口令復(fù)雜度要求。2、 檢測(cè)操作人工檢查登錄頁(yè)面測(cè)試帳號(hào)口令是否符合；備注2.1.3用戶帳號(hào)刪除安全基線項(xiàng)目名稱TongWeb用戶帳號(hào)刪除安全基線要求項(xiàng)安全基線編號(hào)SBL-TongWeb-02-01-03安全基線項(xiàng)說(shuō)明應(yīng)用刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。檢測(cè)操作步驟刪除無(wú)關(guān)用戶，如圖操作：|服務(wù)配置"安全服務(wù)"安全域"管理用戶| 第一步：在列表中找到安全域并且點(diǎn)擊管理用戶Q 用戶ID 組列表tVJ 第二步：勾選 tongwebuser tongweb1 廠 twns tongweb|落 第三步：點(diǎn)擊冊(cè)1除按鈕即可

基線符合性判定依據(jù)1、 判定條件刪除的用戶tongwebuser不能通過(guò)控制臺(tái)登錄界面進(jìn)入主頁(yè)。2、 檢測(cè)操作訪問(wèn)http://ip:8080/twns官理頁(yè)面，使用刪除帳號(hào)進(jìn)仃登陸嘗試。備注2.2認(rèn)證授權(quán)2.2.1控制臺(tái)安全安全基線項(xiàng)目名稱TongWeb控制臺(tái)安全基線要求項(xiàng)安全基線編號(hào)SBL-TongWeb-02-02-01安全基線項(xiàng)說(shuō)明限制登陸管理控制臺(tái)的服務(wù)器，夕卜網(wǎng)用戶訪問(wèn)管理控制臺(tái)，進(jìn)行非法操作檢測(cè)操作步驟登陸管理控制臺(tái)，“服務(wù)配置”3“WEB容器”3“虛擬主機(jī)”，如下圖：服務(wù)配置-=WEB容器虛擬主機(jī)0 ,名稱， 主機(jī)名| | ${tongweb.hostName}削建 廠 !=；Rrvp.r ：J-l'tonav/eb.hostName}H刪除選擇“admin”，如下圖：遠(yuǎn)程過(guò)濾允許訪問(wèn)的遠(yuǎn)程地址[1E.11CM11([1拒絕訪問(wèn)的遠(yuǎn)程地址|充許訪問(wèn)的遠(yuǎn)程主機(jī)|拒絕訪問(wèn)的遠(yuǎn)程主機(jī)|允許訪問(wèn)的遠(yuǎn)程地址：具體的IP或正則表達(dá)式。本例中為正則表達(dá)式：10\.110\.111\.([1][9][3-9]|[2][0-5][0-9])，允許93-255網(wǎng)段的IP訪問(wèn)管理控制臺(tái)基線符合性判定依據(jù)該設(shè)置需要重啟TongWeb才能生效備注第3章日志配置操作3.1日志配置3.1.1日志與記錄安全基線項(xiàng)

目名稱安全基線編號(hào)安全基線項(xiàng)說(shuō)明檢測(cè)操作步

驟TongWeb日志記錄安全基線要求項(xiàng)SBL-TongWeb-03-01-01設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。TongWeb默認(rèn)的訪問(wèn)日志是關(guān)閉了的，可以修改虛擬主機(jī)打開(kāi)訪問(wèn)日志，訪問(wèn)日志中記錄了客戶端訪問(wèn)的本機(jī)IP、訪問(wèn)時(shí)間、訪問(wèn)的資源、請(qǐng)求使用的協(xié)議以及返回的狀態(tài)碼等內(nèi)容，若發(fā)現(xiàn)有攻擊現(xiàn)象可以打開(kāi)訪問(wèn)日志，通過(guò)分析訪問(wèn)日志可以知道哪些IP訪問(wèn)了系統(tǒng)資源，操作如圖:名稱主機(jī)名1adminH 第步:.點(diǎn)擊${tongweb.hostName}F server${tongweb.hostNarne}r cassen/ertestI服務(wù)配置"WEB容器-n虛擬主機(jī)| 第一步：在所有任其中，選擇虛擬主機(jī)選項(xiàng)停止虛擬主機(jī)名稱adrnin虛擬主機(jī)別名|${tongweb.hostName}虛擬主機(jī)狀態(tài)https-listener-2通道列表admin-listenerhttp-listener-2http-listener-1日志文件的位置S{tongweti.rriotyirigs/server.log基本屆性訪問(wèn)日志開(kāi)關(guān) 暴※案：默認(rèn)在空踞，如果需要監(jiān)控E訪問(wèn)日志文件所在目錄 國(guó)祥而扁一將日志保存到文件的周期〔單位：秒）可緩存大小〔單位：字節(jié)） 網(wǎng)礦志，必日志格式如圖:''1/,40：：/'況：：赤'。：」此：：血：[：11跖]京二2：:::；：■:"1/.：.：.? /：/：■：.40"?"17/tit)5/dfljorDat/di]iVnl5/di/lDBdiiig.]5mP/l.i"200的「1".：,"'Tm'[0^00^2012:03:40:36-fflDttJ]fGET/tiDs/dfljorDat/dijit/lajnutmCaiitaiDEE.jsffTTP/1.1"2[基線符合性判定依據(jù)1、 判定條件查看logs目錄中相關(guān)日志文件內(nèi)容，記錄完整2、 檢測(cè)操作查看localhost_access_log.2012-03-07.log中相關(guān)日志記錄備注第4章備份容錯(cuò)4.1備份容錯(cuò)安全基線項(xiàng)目名稱TongWeb備份容錯(cuò)安全基線要求項(xiàng)安全基線編號(hào)SBL-TongWeb-04-01-01安全基線項(xiàng)說(shuō)明用戶應(yīng)有完善的應(yīng)用服務(wù)器備份機(jī)制檢測(cè)操作步驟某些操作如修改啟動(dòng)腳本或者配置文件twsn.xml，操作失誤可能導(dǎo)致啟動(dòng)異常，需要對(duì)TongWeb的配置文件進(jìn)行日常備份保護(hù)，保證應(yīng)用系統(tǒng)的可用性.。如果損壞，必須重新配置應(yīng)用，也需要備份。每周備份一次twns.xml文件，至少每月備份一次TongWeb全目錄，生產(chǎn)環(huán)境配置更改前必須先備份?；€符合性判定依據(jù)任何系統(tǒng)的改變都必須有授權(quán)和紙介質(zhì)保存的修改記錄備注第5章IP協(xié)議安全配置5.1IP通信安全協(xié)議安全基線項(xiàng)

目名稱第5章IP協(xié)議安全配置5.1IP通信安全協(xié)議安全基線項(xiàng)

目名稱安全基線編號(hào)安全基線項(xiàng)說(shuō)明檢測(cè)操作步

驟TongWeb通信安全協(xié)議安全基線要求項(xiàng)SBL-TongWeb-05-01-01對(duì)于通過(guò)HTTP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)支持使用HTTPS等加密協(xié)議。1、啟動(dòng)tongweb，并創(chuàng)建https通道，端口為8445（根據(jù)實(shí)際情況創(chuàng)建），如圖：服務(wù)配置-nWEB容器-HTTP通道-創(chuàng)建HTTP通道第一芝、，在所有任務(wù)中選擇A基本屆性2、修改tongweb的配置文件twn.xml，如圖所示：iLl=rpai：li[iinpploc::virt.ua1-serverhost.s=pp${tongm已比.host.I'J日rn已}pphttp-1ist-eners=|"iLl=rpai：li[iinpploc<hr.t.p-access-logaccess-log-buffer-size="409b"access-1og-titi：ir.p-int.erva1=rp10"access-locOsosso-en；al：i[已cl=ppfals已""> 第一步：1發(fā)第」mdmin虛主;1機(jī)j紅椎匆t::/virt.ua1-aeizw已r> 替換成h11pu捉n鹽-捉”

rdefault-virtuaL-3erver=Server|r叫恥1區(qū)（1=%工如"fafflily=,,inetn，ic3=HtiiLtps-li3tEtiEr-tE3iLHpart=rTB443"tIs-rollfaack-eiiabled=5E-nia-ciirect-bytEbi.3ffer=alse"/> 第二步：掘曲頃赤詢—切w纏苴」替飆血曲間口重新登錄tongweb控制臺(tái)，結(jié)果如圖：地址LD）httpe://loc：alhoet:84451'1twriE./twrisMain./mairL.jsf?r 推*合用戶名： 匚基線符合性判定依據(jù)1、判定條件 密碼’「使用https方式登陸TongWeb服務(wù)器頁(yè)面，噎陸成功2、 檢測(cè)操作使用https方式登陸TongWeb服務(wù)器管理頁(yè)面ip：https：//ip:8445/twns備注第6章設(shè)備其他配置操作6.1安全管理6.1.1禁止應(yīng)用程序可顯安全基線項(xiàng)目名稱TongWeb控制臺(tái)超時(shí)設(shè)置安全基線要求項(xiàng)安全基線編SBL-TongWeb-06-01-01安全基線項(xiàng)說(shuō)明安全基線項(xiàng)目名稱TongWeb控制臺(tái)超時(shí)設(shè)置安全基線要求項(xiàng)安全基線編SBL-TongWeb-06-01-01安全基線項(xiàng)說(shuō)明可以避免訪問(wèn)應(yīng)用時(shí)，暴露應(yīng)用目錄下有哪些文件。檢測(cè)操作步為了防止如下圖所示的顯示應(yīng)用目錄的情況的發(fā)生，TongWeb默認(rèn)為不顯示目錄結(jié)構(gòu)：檢測(cè)操作步為了防止如下圖所示的顯示應(yīng)用目錄的情況的發(fā)生，TongWeb默認(rèn)為不顯示目錄結(jié)構(gòu)：FilenameLastModifiedapplication,*；!Fri,24Feb20120234GUTclient.jwpFri,24Feb20120234GITforw&rd.jsp2khgecpropeg.jsp9kbimages/0.如果希望顯示，可進(jìn)行如圖操作:5kb8kbFri,24Feb2012application,*；!Fri,24Feb20120234GUTclient.jwpFri,24Feb20120234GITforw&rd.jsp2khgecpropeg.jsp9kbimages/0.如果希望顯示，可進(jìn)行如圖操作:5kb8kbFri,24Feb201202Fri,24Feb201202Fri,24Feb201202Fri,24Feb201202Fri,24Feb201202Fri,24Feb201202Fri,24Feb20120234GUT34GIT34GUT34GIT34GMT34GIT34GMT|應(yīng)用|應(yīng)用“應(yīng)用管理“Web應(yīng)用第一步：在所有任曾中，選擇應(yīng)用管理中的Webyingyong部署酸解部著e更新o啟動(dòng)O停止應(yīng)用聲稱廠Icas|*部署酸解部著e更新o啟動(dòng)O停止應(yīng)用聲稱廠Icas|*F testCAS狀態(tài)第曾野點(diǎn)擊cas部怵true退休狀態(tài)未退休虛擬主機(jī)管理虛擬主機(jī)管理虛擬主機(jī)管理共有2條紀(jì)錄博1頁(yè)J共1頁(yè)應(yīng)用狀態(tài)應(yīng)用退休狀態(tài)應(yīng)用位置true未退休c:/ijijO212A'V/cas附加類(lèi)路徑所屬類(lèi)型部署描述符交件 user融阿I洶：說(shuō)明:不需要重啟tongwebo基線符合性判定依據(jù)1、 判定條件勾選顯示目錄，有詳細(xì)應(yīng)用列表。2、 檢測(cè)操作按照操作指南顯示操作。備注6.1.2端口設(shè)置*安全基線項(xiàng)目名稱TongWeb默認(rèn)端口安全基線要求項(xiàng)安全基線編號(hào)SBL-TongWeb-06-01-02安全基線項(xiàng)說(shuō)明更改TongWeb服務(wù)器默認(rèn)管理控制臺(tái)端口和訪問(wèn)端口檢測(cè)操作步驟選擇列表中的虛擬機(jī)，進(jìn)行如圖操作：|,服務(wù)配直-MEB答器“虛擬王機(jī)1 1 第一步：在所有任軍中，選擇虛擬機(jī)選項(xiàng)c 名稱 主機(jī)名admin ${tongweb.hostName)r |sen/er 第二步：點(diǎn)擊serve#{ton3webhostName}F casserver testA 基本屬性啟動(dòng) 虛擬主機(jī)名稱server虛擬主機(jī)別名|j{tongweb.hostName}虛擬主機(jī)狀態(tài)Phttps-listener-2通道列表 adrnin-listener|http-listener-?日志文件的位置J{tongweb.root}/logs/server.log定制部署到該虛擬主機(jī)上的所有web應(yīng)用的錯(cuò)誤頁(yè)面，每個(gè)web應(yīng)用都可以在自己的web.xml里覆蓋這個(gè)配置，屬性值分為3個(gè)部分：code指定錯(cuò)誤號(hào)，path指定錯(cuò)誤頁(yè)的絕對(duì)路徑，reason指定錯(cuò)誤原因。如code=404path=/存放error.jsp文件的目錄/error.jspreason=MY-404-REASON其他 卻是否使用符號(hào)鏈接 r請(qǐng)求重定向參數(shù) 「網(wǎng)熒緩存控制參數(shù)安全域名稱 twns-realmv自定義Valve自定義Listener自定義錯(cuò)誤頁(yè)面 ‘ 自宇以頁(yè)面重宇向安全域認(rèn)證通過(guò)后不進(jìn)行網(wǎng)熒緩存r扁k消

基線符合性判定依據(jù)1、 判定條件指向指定錯(cuò)誤頁(yè)面2、 檢測(cè)操作URL地址欄中輸入http://ip:8080/manager 備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。6.1.3錯(cuò)誤頁(yè)面處理安全基線項(xiàng)TongWeb錯(cuò)誤頁(yè)面安全基線要求項(xiàng)目名稱女全基線編SBL-TongWeb-06-01-03號(hào)安全基線項(xiàng)

說(shuō)明TongWeb錯(cuò)誤頁(yè)面重定向檢測(cè)操作步 選擇列表中的虛擬機(jī)，進(jìn)行如圖操作:驟服務(wù)配直-