JBOSS服务器安全配置基线

1、JBOSS 服务器安全配置基线JBOSSJBOSS 服务器安全配置基线服务器安全配置基线JBOSS 服务器安全配置基线版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人V2.0创建2012 年 4 月备注：备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。JBOSS 服务器安全配置基线目目 录录第第 1 章章概述概述.11.1目的.11.2适用范围.11.3适用版本.11.4实施.11.5例外条款.1第第 2 章章帐号管理、认证授权帐号管理、认证授权.22.1帐号.22.1.1jmx-console 登录的用户名和密码管理.22.1.2we

2、b-console 登录的用户名和密码管理.32.2口令.42.2.1密码复杂度.42.2.2密码生存期*.52.3授权.52.3.1用户权利指派*.5第第 3 章章日志配置操作日志配置操作.73.1日志配置.73.1.1审核登录.7第第 4 章章IP 协议安全配置协议安全配置 .84.1IP 协议.84.1.1支持加密协议.8第第 5 章章设备其他配置操作设备其他配置操作.105.1安全管理.105.1.1定时登出.105.1.2更改默认端口*.105.1.3错误页面处理.115.1.4目录列表访问限制.12第第 6 章章评审与修订评审与修订.13JBOSS 服务器安全配置基线中国移动通信有

3、限公司第 0 页 共 16 页第第 1 章章概述概述1.1目的目的本文档旨在指导系统管理人员进行 Jboss 服务器的安全配置。1.2适用范围适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。1.3适用版本适用版本4.x 版本的 Jboss 服务器。1.4实施实施1.5例外条款例外条款第第 2 章章帐号管理、认证授权帐号管理、认证授权2.1帐号帐号2.1.1 jmx-console 登录的用户名和密码管理登录的用户名和密码管理安全基线项安全基线项目名称目名称jmx-console 登录的用户名和密码管理安全基线编安全基线编号号SBL-Jboss-02-01-01 J

4、BOSS 服务器安全配置基线中国移动通信有限公司第 1 页 共 16 页安全基线项安全基线项说明说明 默认情况访问 http:/ip:port/jmx-console 需要输入用户名和密码。设置用户名密码限制帐号,提高安全性。检测操作步检测操作步骤骤1、参考配置操作、参考配置操作（1）修改 Jboss 目录下$jboss/server/$server/deploy/jmx-console.war/WEB-INF/jboss-web.xml，去掉节点的注释修改 jboss-web.xml 同级目录下的 web.xml 文件，去掉节点的注释，在这里可以看到为登录配置了角色 JBossAdmin （

5、2）jmx-console 的安全域和运行角色 JBossAdmin 都是在 login-config.xml中配置，在 Jboss 的安装目录$jboss/server/$server/config 下找到。在login-config.xml 中查找 jmx-console 的 application-policy 可以看到登录的角色、用户等信息分别在$jboss/server/$server/config/props 的perties 和 perties 文件中配置2、补充操作说明、补充操作说明（1） jm

6、perties 文件中定义了一个用户名为 admin，的用户。（2）perties 文件中默认为 admin 用户，定义了JBossAdmin 和 HttpInvoker 这两个角色。基线符合性基线符合性判定依据判定依据1、检测操作、检测操作登陆 http:/ip:port/jmx-console 不能正常访问2、补充操作判定条件、补充操作判定条件输入 perties 文件中定义的用户名和密码登陆正常备注备注2.1.2 web-console 登录的用户名和密码管理登录的用

7、户名和密码管理安全基线项安全基线项目名称目名称web-console 登录的用户名和密码管理安全基线要求项安全基线编安全基线编号号SBL-Jboss-02-01-02 JBOSS 服务器安全配置基线中国移动通信有限公司第 2 页 共 16 页安全基线项安全基线项说明说明 不需要输入用户名和密码存在安全隐患。设置用户名密码限制帐号。检测操作步检测操作步骤骤1、参考配置操作、参考配置操作修改 Jboss 目录下$jboss/server/$server/deploy/management/console-mgr.sar/web-console.war/WEB-INF 下 jboss-web.xml

8、 文件，去掉节点的注释。修改中 jboss-web.xml 同目录下的 web.xml 文件，去掉节点的部分注释进行修改，修改的内容如下：修改 server/default/conf 下的 login-config.xml 文件2、补充操作说明、补充操作说明1、perties 文件中默认定义了一个用户名为 admin，密码也为 admin 的用户。2、perties 文件中默认为 admin 用户定义了 JBossAdmin和 HttpInvoker 这两个角色。基线符合性基线符合性判定依据判定依据1、检测操作

9、、检测操作登陆 http:/ip:port/web-console/ 不能访问页面2、补充操作判定条件、补充操作判定条件输入 perties 文件中定义的用户名和密码登陆正常备注备注2.2口令口令2.2.1 密码复杂度密码复杂度安全基线项安全基线项目名称目名称Jboss 密码复杂度安全基线要求项安全基线编安全基线编号号SBL-Jboss-02-02-01 安全基线项安全基线项对于采用静态口令认证技术的设备，口令长度至少 8 位，并包括数字、小JBOSS 服务器安全配置基线中国移动通信有限公司第 3 页 共 16 页说明说明 写字母、大写字母和特殊符号四

10、类中至少两类。且 5 次次以内不得设置相同的口令。密码应至少每 90 天天进行更换。检测操作步检测操作步骤骤1、参考配置操作、参考配置操作1. 在$jboss/server/$server/deploy/oracle-ds.xml 配置文件中设置 oracle 密码机密EncryptDBPassword2. 在$jboss/server/$server/conf/login-config.xml 配置文件中设置 JNDI 加密 -testDataSource 是连接池的名称 apps - 用户名 3fb2b2b29f74131a -加密后的密码 jboss.jca:service=LocalT

11、xCM,name=testDataSource 2、补充操作说明、补充操作说明口令要求：长度至少 8 位，并包括数字、小写字母、大写字母和特殊符号 4类中至少 2 类。基线符合性基线符合性判定依据判定依据1、判定条件、判定条件检查$jboss/server/$server/conf/login-config.xml 配置文件中的帐号口令是否符合口令复杂度要求。2、检测操作、检测操作（1）人工检查配置文件中帐号口令是否符合；备注备注JBOSS 服务器安全配置基线中国移动通信有限公司第 4 页 共 16 页2.2.2 密码生存期密码生存期*安全基线项安全基线项目名称目名称Jboss 密码生存期安全

12、基线要求项安全基线编安全基线编号号SBL-Jboss-02-02-02 安全基线项安全基线项说明说明 对于采用静态口令认证技术的设备，应支持按天配置口令生存期功能，帐号口令的生存期不长于 90 天。检测操作步检测操作步骤骤1、参考配置操作、参考配置操作定期对管理 Jbosss Web、JMX 服务器的帐号口令进行修改，间隔不长于 90天。基线符合性基线符合性判定依据判定依据1、判定条件、判定条件90 天后使用原帐号口令进行登陆尝试，登录不成功；2、检测操作、检测操作使用超过 90 天的帐号口令进行登录尝试；备注备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。适用于4.x、5.x

13、、6.x 所有版本。2.3授权授权2.3.1 用户权利指派用户权利指派*安全基线项安全基线项目名称目名称Jboss 用户权利指派安全基线要求项安全基线编安全基线编号号SBL-Jboss-02-03-01 安全基线项安全基线项说明说明 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。检测操作步检测操作步骤骤1、参考配置操作、参考配置操作编辑/server/default/config/login-config.xml配置文件，修改用户角色权限 props/perties props/perties

14、 JBOSS 服务器安全配置基线中国移动通信有限公司第 5 页 共 16 页 2、补充操作说明、补充操作说明jmx-console 角色浏览 jboss 的部署管理信息。Web-console 角色进行监控基线符合性基线符合性判定依据判定依据1、判定条件、判定条件输入 perties 文件中定义的用户名和密码登陆正常输入 perties 文件中定义的用户名和密码登陆正常2、检测操作、检测操作登陆 http:/ip:port/web-console/ 访问页面正常登陆 http:/ip:port/jmx-cons

15、ole/ 访问页面正常备注备注JBOSS 服务器安全配置基线中国移动通信有限公司第 6 页 共 16 页第第 3 章章日志日志配置操作配置操作3.1日志配置日志配置3.1.1 审核登录审核登录安全基线项安全基线项目名称目名称Jboss 审核登录安全基线要求项安全基线编安全基线编号号SBL-Jboss-03-01-01 安全基线项安全基线项说明说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，使用的 IP 地址。检测操作步检测操作步骤骤1、参考配置操作、参考配置操作编辑$jboss/server/$server/conf/ log4j.xml

16、配置文件， 2、补充操作说明、补充操作说明Threshold 是个全局的过滤器，它将把低于所设置的 level 的信息过滤不显示出来 优先级由高到低分为 OFF ,FATAL ,ERROR ,WARN ,INFO ,DEBUG ,ALL参数都以%开始后面不同的参数代表不同的格式化信息（参数按字母表顺序列出）： %c 输出所属类的全名，可在修改为 %dNum ,Num 类名输出的围 % 输出日志时间其格式为 %dyyyy-MM-dd HH:mm:ss,SSS，可指定格式 如 %dHH:mm:ss%l 输出日志事件发生位置，包括类目名、发生线程，在代码中的行数% 换行符%m 输出代码指定信息，如

17、info(“message”),输出 message JBOSS 服务器安全配置基线中国移动通信有限公司第 7 页 共 16 页%p 输出优先级，即 FATAL ,ERROR 等%r 输出从启动到显示该 log 信息所耗费的毫秒数 %t 输出产生该日志事件的线程名基线符合性基线符合性判定依据判定依据1、判定条件、判定条件查看 logs 目录中相关日志文件内容，记录完整2、检测操作、检测操作查看 server.log 中相关日志记录3、补充说明、补充说明备注备注第第 4 章章IPIP 协议安全协议安全配置配置4.1IP 协议协议4.1.1 支持加密协议支持加密协议安全基线项安全基线项目名称目名称

18、Jboss 支持加密协议安全基线要求项安全基线编安全基线编号号SBL-Jboss-04-01-01 安全基线项安全基线项说明说明 对于通过 HTTP 协议进行远程维护的设备，设备应支持使用 HTTPS 等加密协议。检测操作步检测操作步骤骤1、参考配置操作、参考配置操作(1)使用 JDK 自带的 keytool 工具生成一个证书JAVA_HOME/bin/keytool -genkey alias tomcat keyalg RSA-keystore /path/to/my/keystore(2)修改$jboss/server/$server/deploy/jbossweb-tomcat55.s

19、ar/conf/server.xml配置文件，更改为使用 https 方式，增加如下行：Connector classname=”org.apache.catalina.http.HttpConnector” port=”8443” minProcessors=”5” maxprocessors=”100” enableLookups=”true” acceptCount=”10” debug=”0”scheme=”https” secure=”true” Factory classname=”org.apache.catalina.SSLServerSocketFactory”clientA

20、uth=”false” keystoreFile=”/path/to/my/keystore” keystorePass=”runway”protocol=”TLS”/Connector其中 keystorePass 的值为生成 keystore 时输入的密码(3)重新启动 Jboss 服务JBOSS 服务器安全配置基线中国移动通信有限公司第 8 页 共 16 页基线符合性基线符合性判定依据判定依据1、判定条件、判定条件使用 https 方式登陆 Jboss 服务器页面，登陆成功2、检测操作、检测操作使用 https 方式登陆 Jboss 服务器管理页面备注备注JBOSS 服务器安全配置基线中

21、国移动通信有限公司第 9 页 共 16 页第第 5 章章设备其他配置操作设备其他配置操作5.1安全管理安全管理5.1.1 定时登出定时登出安全基线项安全基线项目名称目名称Jboss 定时登出安全基线要求项安全基线编安全基线编号号SBL-Jboss-05-01-01 安全基线项安全基线项说明说明 对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。检测操作步检测操作步骤骤1、参考配置操作、参考配置操作编辑$jboss/server/$server/deploy/jbossweb-tomat55.sar/server.xml 配置文件，修改为 2000 秒 基线符

22、合性基线符合性判定依据判定依据1、判定条件、判定条件30 分自动登出。 2、检测操作、检测操作登陆 jboss 默认页面 ，使用管理帐号登陆3、补充说明、补充说明备注备注5.1.2 更改默认端口更改默认端口*安全基线项安全基线项目名称目名称Jboss 运行端口安全基线要求项安全基线编安全基线编号号SBL-Jboss-05-01-02 安全基线项安全基线项更改 tomcat 服务器默认端口JBOSS 服务器安全配置基线中国移动通信有限公司第 10 页 共 16 页说明说明 检测操作步检测操作步骤骤1、参考配置操作、参考配置操作（1）修改$jboss/server/$server/deploy/j

23、bossweb-tomat55.sar/server.xml 配置文件，更改默认管理端口到 8100 （2）重启 JBOSS 服务 2、补充操作说明、补充操作说明Jboss 默认端口是 8080,通常占用的端口是1098，1099，4444，4445，8080，8009，8083，8093在 windows 系统中： 1098、1099、4444、4445、8083 端口在/server/ehr_jsprd /conf/jboss-service.xml 中8080 端口在/server/ ehr_jsprd /deploy/jboss-web.deployer/server.xml 中8093 端口在/server/ ehr_jsprd /deploy/jms/uil2-service