WebSphere-Web服务器安全配置基线15页

1、WebSphereWebSphere WebWeb 服务器服务器 安全配置基线安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 04 月 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1.0创建2009 年 1 月 V2.0更新2012 年 4 月 备注：备注： 1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目目 录录 第第 1 章章概述概述.4 1.1目的.4 1.2适用范围.4 1.3适用版本.4 1.4实施.4 1.5例外条款.4 第第 2 章章帐号管理、认证授权帐号管理、认证

2、授权.5 2.1帐号.5 2.1.1应用程序角色.5 2.1.2控制台帐号安全.5 2.1.3口令管理.6 2.1.4密码复杂度.6 2.2认证授权.7 2.2.1控制台安全.7 2.2.2全局安全性与Java2安全.7 第第 3 章章日志配置操作日志配置操作.9 3.1日志配置.9 3.1.1日志与记录.9 第第 4 章章备份容错备份容错.10 4.1备份容错.10 第第 5 章章设备其他配置操作设备其他配置操作.11 5.1安全管理.11 5.1.1控制台超时设置.11 5.1.2示例程序删除.11 5.1.3错误页面处理.12 5.1.4文件访问限制.12 5.1.5目录列出访问限制.1

3、2 5.1.6控制目录权限.13 5.1.7补丁管理*.13 第第 6 章章评审与修订评审与修订.15 第第 1 章章概述概述 1.1目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 WebSphere Web 服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行 WebSphere Web 服 务器的安全配置。 1.2适用范围适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的 WebSphere Web 服务器系统。 1.3适用版本适用版本 6.x 版本的 We

4、bSphere Web 服务器。 1.4实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中 若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5例外条款例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送 交中国移动通信有限公司管理信息系统部进行审批备案。 第第 2 章章帐号管理、认证授权帐号管理、认证授权 2.1帐号帐号 2.1.1 应用程序角色应用程序角色 安全基线项安全基线项 目名称目名称 WebSphere 应用程序角色安全基线要求项 安全基线编安全基线编 号号 SBL-WebSphere-02-01-01

5、安全基线项安全基线项 说明说明 要求为应用用户定义合适的角色 检测操作步检测操作步 骤骤 以管理员身份打开管理控制台,执行： 1.点击“应用程序”-”企业应用程序” 2.双击要查看的应用程序 3.点击“其它属性”中的”映射安全性角色到用户/组” 基线符合性基线符合性 判定依据判定依据 要求安全角色映射到“每个用户“、 “所有已认证用户” 、 “已映射的用户” 、 “已映射的组” 备注备注 2.1.2 控制台帐号安全控制台帐号安全 安全基线项安全基线项 目名称目名称 WebSphere 控制台帐号安全安全基线要求项 安全基线编安全基线编 号号 SBL-WebSphere-02-01-02 安全基

6、线项安全基线项 说明说明 特权管理帐号在多个用户间共享，会引发很多安全问题，企业无法控制配置 上的安全，不易定位安全事件责任人,同时特权帐号非法使用者还可抹去审 计信息 检测操作步检测操作步 骤骤 以管理员身份打开管理控制台,执行： 1.点击“系统管理”-”控制台设置”-“控制台用户” 2.点击要查看的用户名 3. 查看用户所属组 基线符合性基线符合性 判定依据判定依据 要求不得出现共用特权管理帐号，管理帐号必须按角色分配用户角色为 monitor（监控员） 、Configurator(配置员)、Operator（操作员） Administrator(管理员)之一 备注备注 2.1.3 口令管

7、理口令管理 安全基线项安全基线项 目名称目名称 WebSphere 口令安全基线要求项 安全基线编安全基线编 号号 SBL-WebSphere-02-01-03 安全基线项安全基线项 说明说明 不得在自动运行脚本、控制命令等地方出现 Websphere 明文口令，例如 cron 脚本 检测操作步检测操作步 骤骤 以 root 身份执行： #ps ef|grep i WebSphere #su WebSphere_username c “crontab l” #crontab -l 基线符合性基线符合性 判定依据判定依据 要求回显内容中不含口令字 备注备注 2.1.4 密码复杂度密码复杂度 安全

8、基线项安全基线项 目名称目名称 WebSphere 密码复杂度安全基线要求项 安全基线编安全基线编 号号 SBL-WebSphere-02-01-04 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备，口令长度至少 8 位，并包括数字、小写 字母、大写字母和特殊符号四类中至少两类。且 5 次以内不得设置相同的口 令。密码应至少每 90 天进行更换。 检测操作步检测操作步 骤骤 1、参考配置操作、参考配置操作 查看 WebSphere 安装目录下的配置文件 2、补充操作说明、补充操作说明 口令要求：口令长度至少 8 位，并包括数字、小写字母、大写字母和特殊符 号四类中至少两类。且

9、5 次以内不得设置相同的口令。密码应至少每 90 天 进行更换。 基线符合性基线符合性 判定依据判定依据 1、判定条件、判定条件 备注备注 2.2认证授权认证授权 2.2.1 控制台安全控制台安全 安全基线项安全基线项 目名称目名称 WebSphere 控制台安全基线要求项 安全基线编安全基线编 号号 SBL-WebSphere-02-02-01 安全基线项安全基线项 说明说明 Cosnaming 服务权限设置过大会引入安全隐患 检测操作步检测操作步 骤骤 以管理员身份打开管理控制台,执行： 1.点击“环境”-命名-CORBA 命名服务用户 2.查看服务用户 3.点击“环境”-命名-CORBA

10、 命名服务组 4.查看服务组授权 基线符合性基线符合性 判定依据判定依据 要求 EVERYONE 组已删除，并且 ALL_AUTHENTICATED 组角色仅设为” 控制台命名读” 备注备注 2.2.2 全局安全性与全局安全性与 Java2 安全安全 安全基线项安全基线项 目名称目名称 WebSphere 全局安全性与 Java2 安全基线要求项 安全基线编安全基线编 号号 SBL-WebSphere-02-02-02 安全基线项安全基线项 说明说明 启用全局安全性，控制登录管理控制台，同时应用程序将可以使用 WebSphere 的安全特性,Java 2 安全性在 J2EE 基于角色的授权之上

11、提供访 问控制保护的额外级别。它特别处理系统资源和 API 的保护，不启用 Java2 安全性会极大减弱应用的安全强度。 检测操作步检测操作步 骤骤 1.打开管理控制台 2.点击“安全性”-”全局安全性” 查看“启用全局安全性”和“强制 Java 2 安全性”是否启用 基线符合性基线符合性 判定依据判定依据 要求“启用全局安全性”和“强制 Java 2 安全性”启用 备注备注 第第 3 章章日志日志配置操作配置操作 3.1日志配置日志配置 3.1.1 日志与记录日志与记录 安全基线项安全基线项 目名称目名称 WebSphere 日志记录安全基线要求项 安全基线编安全基线编 号号 SBL-Web

12、Sphere-03-01-01 安全基线项安全基线项 说明说明 启用日志可以回溯事件进行检查或审计，日志详细信息级别如果配置不当， 会缺少必要的审计信息 检测操作步检测操作步 骤骤 以管理员身份打开管理控制台,执行： 1. 查看设置日志的输出属性： 在导航窗格中，单击服务器 应用程序服务器-单击您要使用的服务 器的名称-在“故障诊断”下面，单击日志记录和跟踪-单击要配置的系 统日志（诊断跟踪、静态更改，单击”配置”选项卡,动态更改点击”运行时”选 项卡。 2. 查看日志设置日志级别。 在导航窗格中，单击服务器 应用程序服务器-单击您要使用的服务器的 名称。 -在“故障诊断”下面，单击日志记录和

13、跟踪,查看日志详细信息级别 基线符合性基线符合性 判定依据判定依据 要求启用所有日志，并配置日志详细信息级别为*=info: SecurityManager=all: SystemOut=all 备注备注 第第 4 章章备份容错备份容错 4.1备份容错备份容错 安全基线项安全基线项 目名称目名称 WebSphere 备份容错安全基线要求项 安全基线编安全基线编 号号 SBL-WebSphere-04-01-01 安全基线项安全基线项 说明说明 某非法操作或误操作可能导致服务器崩溃，需要对 WebSphere 的配置文件 进行日常备份保护，保证应用系统的可用性. 检测操作步检测操作步 骤骤 访谈

14、与实地了解针对 Web 应用的当前备份容错机制 基线符合性基线符合性 判定依据判定依据 要求备份容错机制中针对配置文件、主程序等的备份周期，介质及内容达到 Web 应用需求 备注备注 第第 5 章章设备其他配置操作设备其他配置操作 5.1安全管理安全管理 5.1.1 控制台超时设置控制台超时设置 安全基线项安全基线项 目名称目名称 WebSphere 控制台超时设置安全基线要求项 安全基线编安全基线编 号号 SBL-WebSphere-05-01-01 安全基线项安全基线项 说明说明 控制台会话默认 30 分钟 timeout,要求设置不大于 10 分钟 检测操作步检测操作步 骤骤 1.用文本

15、编辑器打开文件 $WAS_HOME/systemApps/adminconsole.ear/deployment.xml 查看 invalidationTimeout 的值 基线符合性基线符合性 判定依据判定依据 invalidationTimeout 的值不得大于 30 备注备注 5.1.2 示例程序删除示例程序删除 安全基线项安全基线项 目名称目名称 WebSphere 示例程序删除安全基线要求项 安全基线编安全基线编 号号 SBL-WebSphere-05-01-02 安全基线项安全基线项 说明说明 sample 例子程序会泄露系统敏感信息，存在较大的安全隐患 检测操作步检测操作步 骤骤

16、 以管理员身份打开管理控制台,执行： 1. 点击“应用程序”-”企业应用程序” 基线符合性基线符合性 判定依据判定依据 不得存在” DefaultApplication”、 “PlantsByWebSphere “、 “SamplesGallery” 、 “ivtApp”等例子程序 备注备注 5.1.3 错误页面处理错误页面处理 安全基线项安全基线项 目名称目名称 WebSphere 错误页面安全基线要求项 安全基线编安全基线编 号号 SBL-WebSphere-05-01-03 安全基线项安全基线项 说明说明 如果没有定义默认错误网页，则当应用程序出错时会显示内部出错信息,暴 露系统和应用的

17、敏感信息 检测操作步检测操作步 骤骤 以 root 身份执行: grep -i defaultErrorPage $WAS_HOME/config/cells/applications/ .ear/.war/WEB-INF/ibm-web-ext.xmi 基线符合性基线符合性 判定依据判定依据 要求 defaultErrorPage=设置为定义错误页面 备注备注 5.1.4 文件访问限制文件访问限制 安全基线项安全基线项 目名称目名称 WebSphere 文件访问安全基线要求项 安全基线编安全基线编 号号 SBL-WebSphere-05-01-04 安全基线项安全基线项 说明说明 禁止 We

18、bSphere 列表显示文件 检测操作步检测操作步 骤骤 以 root 身份执行： grep i fileServingEnabled $WAS_HOME/config/cells/applications/ .ear/.war/WEB-INF/ibm-web-ext.xmi 基线符合性基线符合性 判定依据判定依据 要求 fileServingEnabled=”false” 备注备注 5.1.5 目录列出访问限制目录列出访问限制 安全基线项安全基线项 目名称目名称 WebSphere 目录列出安全基线要求项 安全基线编安全基线编 号号 SBL-WebSphere-05-01-05 安全基线项安全基线项 说明说明 禁止 WebSphere 浏览、列表显示目录 检测操作步检测操作步 骤骤 以 root 身份执行： grep i directoryBrowsingEnabled $WAS_HOME/config/cells/applications/ .ear/.war/WEB-INF/ibm-web-ext.xmi 基线符合性基线符合性 判定依据判定依据 要求 directoryBrowsingEnabled=”false” 备注备注 5.1.6 控制目录权限控制目录权限 安全基线项安全基线项 目名称目名称 WebSphere 控制目录权限