《WebSphere Web服务器安全配置基线》由会员分享,可在线阅读,更多相关《WebSphere Web服务器安全配置基线(17页珍藏版)》请在金锄头文库上搜索。
1、WebSphere Web 服务器安全配置基线中国移动通信有限公司 管理信息系统部2012 年 04 月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注:1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格录第 1 章概述 41.1目的 41.2适用范围 41.3适用版本 41.4实施 41.5例外条款 4第 2 章帐号管理、认证授权 52.1帐号 52.1.1 应用程序角色 52.1.2 控制台帐号安全 52.1.3 口令管理 62.1.4 密码复杂度 62.2认证授权 72.2.1 控制台安全 72.2.2 全局安全性与Ja
2、va2安全7第 3 章日志配置操作 93.1 日志配置 93.1.1 日志与记录 9第 4 章备份容错 104.1 备份容错 10第5章设备其他配置操作 115.1安全管理 115.1.1 控制台超时设置115.1.2 示例程序删除115.1.3 错误页面处理 125.1.4 文件访问限制 125.1.5 目录列出访问限制 125.1.6 控制目录权限 135.1.7 补丁管理* 13第 6 章评审与修订 15第1章 概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 WebSphere Web服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行WebSph
3、ere Web服务器的安全配置。1.2适用范本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的WebSphere Web服务器系统。1.3 适用版本6.x版本的WebSphere Web服务器。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若 有任何疑问或建议,应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交 中国移动通信有限公司管理信息系统部进行审批备案。第2章 帐号管理、认证授权2.1
4、帐号2.1.1应用程序角色安全基线项 目名称WebSphere应用程序角色安全基线要求项安全基线编 号SBL-WebSphere-02-01-01安全基线项 说明要求为应用用户定义合适的角色检测操作步 骤以管理员身份打开管理控制台,执行:1. 点击“应用程序”-”企业应用程序”2. 双击要查看的应用程序3. 点击“其它属性”中的”映射安全性角色到用户/组”基线符合性 判定依据要求安全角色映射到“每个用户“、“所有已认证用户”、“已映射的用户”、 “已映射的组”备注2.1.2控制台帐号安全安全基线项 目名称WebSphere控制台帐号安全安全基线要求项安全基线编 号SBL-WebSphere-0
5、2-01-02安全基线项 说明特权管理帐号在多个用户间共享,会引发很多安全问题,企业无法控制配置 上的安全,不易定位安全事件责任人,同时特权帐号非法使用者还可抹去审计 信息检测操作步 骤以管理员身份打开管理控制台,执行:1. 点击“系统管理”-”控制台设置”- “控制台用户”2. 点击要查看的用户名3. 查看用户所属组基线符合性 判定依据要求不得出现共用特权管理帐号,管理帐号必须按角色分配用户角色为 monitor (监控员)、Configurator配置员)、Operator (操作员)Administrator(管 理员)之一2.1.3 口令管理安全基线项 目名称WebSphere 口令安
6、全基线要求项安全基线编 号SBL-WebSphere-02-01-03安全基线项 说明不得在自动运行脚本、控制命令等地方出现Websphere明文口令,例如cron 脚本检测操作步 骤以root身份执行:#ps -eflgrep -i WebSphere#su - WebSphere_username -c “crontab -1 #crontab -l基线符合性 判定依据要求回显内容中不含口令字备注2.1.4密码复杂度安全基线项 目名称WebSphere密码复杂度安全基线要求项安全基线编 号SBL-WebSphere-02-01-04安全基线项 说明对于米用静态口令认证技术的设备,口令长度至
7、少8位,并包括数字、小写 字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口 令。密码应至少每90天进行更换。检测操作步 骤1、参考配置操作查看WebSphere安装目录下的配置文件2、补充操作说明口令要求:口令长度至少8位,并包括数字、小写字母、大写字母和特殊符 号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进 行更换。基线符合性 判定依据1、判定条件备注2.2 认证授权2.2.1控制台安全安全基线项 目名称WebSphere控制台安全基线要求项安全基线编 号SBL-WebSphere-02-02-01安全基线项 说明Cosnaming服务权限设置过大会引
8、入安全隐患检测操作步 骤以管理员身份打开管理控制台,执行:1. 点击“环境”-命名-CORBA命名服务用户2. 查看服务用户3. 点击“环境”-命名-CORBA命名服务组4. 查看服务组授权基线符合性 判定依据要求EVERYONE组已删除,并且ALL_AUTHENTICATED组角色仅设为” 控制台命名读”备注2.2.2全局安全性与Java2安全安全基线项 目名称WebSphere全局安全性与Java2安全基线要求项安全基线编 号SBL-WebSphere-02-02-02安全基线项 说明启用全局安全性,控制登录管理控制台,冋时应用程序将可以使用WebSphere 的安全特性,Java 2安全
9、性在J2EE基于角色的授权之上提供访问控制保护的 额外级别。它特别处理系统资源和API的保护,不启用Java2安全性会极 大减弱应用的安全强度。检测操作步 骤1. 打开管理控制台2. 点击“安全性”-”全局安全性”查看“启用全局安全性和“强制Java 2安全性”是否启用基线符合性 判定依据要求“启用全局安全性和“强制Java 2安全性”启用第3章 日志配置操作3.1 日志配置3.1.1 日志与记录安全基线项 目名称WebSphere日志记录安全基线要求项安全基线编 号SBL-WebSphere-03-01-01安全基线项 说明启用日志可以回溯事件进行检查或审计,日志详细信息级别如果配置不当,
10、会缺少必要的审计信息检测操作步 骤以管理员身份打开管理控制台,执行:1. 查看设置日志的输出属性:在导航窗格中,单击服务器 应用程序服务器-单击您要使用的服务器 的名称-在“故障诊断”下面,单击日志记录和跟踪-单击要配置的系统日 志(诊断跟踪、静态更改,单击”配置”选项卡,动态更改点击”运行时”选项卡。2. 查看日志设置日志级别。在导航窗格中,单击服务器 应用程序服务器-单击您要使用的服务器的 名称。-在“故障诊断”下面,单击日志记录和跟踪,查看日志详细信息级别基线符合性 判定依据要求启用所有日志,并配置日志详细信息级别为*=info: SecurityManager=all: SystemO
11、ut=all备注第4章 备份容错4.1 备份容错安全基线项 目名称WebSphere备份容错安全基线要求项安全基线编 号SBL-WebSphere-04-01-01安全基线项 说明某非法操作或误操作可能导致服务器崩溃,需要对WebSphere的配置文件进 行日常备份保护,保证应用系统的可用性.检测操作步 骤访谈与实地了解针对Web应用的当前备份容错机制基线符合性 判定依据要求备份容错机制中针对配置文件、主程序等的备份周期,介质及内容达到 Web应用需求备注第5章 设备其他配置操作5.1 安全管理5.1.1控制台超时设置安全基线项 目名称WebSphere控制台超时设置安全基线要求项安全基线编
12、号SBL-WebSphere-05-01-01安全基线项 说明控制台会话默认30分钟timeout,要求设置不大于10分钟检测操作步 骤1用文本编辑器打开文件$WAS_HOME/systemApps/adminconsole.ear/deployment.xml 查看 invalidationTimeout 的值基线符合性 判定依据invalidationTimeout 的值不得大于 30备注5.1.2示例程序删除安全基线项 目名称WebSphere示例程序删除安全基线要求项安全基线编 号SBL-WebSphere-05-01-02安全基线项 说明sample例子程序会泄露系统敏感信息,存在较
13、大的安全隐患检测操作步 骤以管理员身份打开管理控制台,执行:1.点击“应用程序”-”企业应用程序”基线符合性 判定依据不得存在DefaultApplication、“PlantsByWebSphere“、“SamplesGallery”、 “ivtApp ”等例子程序备注5.1.3错误页面处理安全基线项 目名称WebSphere错误页面安全基线要求项安全基线编 号SBL-WebSphere-05-01-03安全基线项 说明如果没有定义默认错误网页,则当应用程序出错时会显示内部出错信息,暴露 系统和应用的敏感信息检测操作步 骤以root身份执行:grep -i defaultErrorPage$
14、WAS_HOME/vprofilepath/config/cells/vhostname/applications/ vyourapplication.ear/vyourapplication.war/WEB-INF/ibm-web-ext.xmi基线符合性 判定依据要求defaultErrorPage=设置为定义错误页面备注5.1.4文件访问限制安全基线项 目名称WebSphere文件访问安全基线要求项安全基线编 号SBL-WebSphere-05-01-04安全基线项 说明禁止WebSphere列表显示文件检测操作步 骤以root身份执行:grep -i fileServingEnabled$WAS_HOME/vprofilepath/config/cells/vhostname/applications/ vyourapplication.ear/vyourapplication.war/WEB-INF/ibm-web-ext.xmi基线符合性 判定依
