WebSphereWeb服务器安全配置基线要点

1、WebSphere Web服务器安全配置基线WebSphere Web服 务器安全配置基线版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。第21页共15页第1章概述 41.1 目的41.2 适用范围41.3 适用版本41.4 实施41.5 例外条款4第2章帐号管理、认证授权 42.1 帐号42.1.1 应用程序角色42.1.2 控制台帐号安全 52.1.3 口令管理52.1.4 密码复杂度62.2 认证授权72.2.1 控制台安全72.2.2 全局安全性与Java2安全7第3

2、章日志配置操作 93.1 日志配置93.1.1 日志与记录9第4章备份容错104.1 备份容错10第5章设备其他配置操作 115.1 安全管理115.1.1 控制台超时设置 115.1.2 示例程序删除115.1.3 错误页面处理 125.1.4 文件访问限制125.1.5 目录列出访问限制125.1.6 控制目录权限135.1.7 补丁管理 * 13第6章评审与修订15第1章概述1.1 目的本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。1.3 适用版本6.x版本的 WebSphe

3、re Web服务器。1.4 实施1.5 例外条款第2章帐号管理、认证授权2.1 帐号2.1.1应用程序角色安全基线项 目名称WebSphere应用程序角色安全基线要求项安全基线编 号SBL-WebSphere-02-01-01安全基线项要求为应用用户定义合适的角色说明检测操作步 骤以管理员身份打开管理控制台，执行：1. 点击“应用程序”-> ”企业应用程序”2. 双击要查看的应用程序3. 点击“其它属性”中的”映射安全性角色到用户/组”基线符合性 判定依据要求安全角色映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”备注2.1.2控制台帐号安全安全基线项 目名称We

4、bSphere控制台帐号安全安全基线要求项安全基线编 号SBL-WebSphere-02-01-02安全基线项 说明特权管理帐号在多个用户间共享，会引发很多安全问题，企业无法控制配置 上的安全，不易定位安全事件责任人，冋时特权帐号非法使用者还可抹去审计 信息检测操作步 骤以管理员身份打开管理控制台，执行：1. 点击“系统管理”->”控制台设置”-> “控制台用户”2. 点击要查看的用户名3. 查看用户所属组基线符合性 判定依据要求不得出现共用特权管理帐号，管理帐号必须按角色分配用户角色为monitor （监控员）、Configurator（配置员卜 Operator （操作员）Ad

5、ministrator（管 理员）之一备注2.1.3 口令管理安全基线项 目名称WebSphere 口令安全基线要求项安全基线编 号SBL-WebSphere-02-01-03安全基线项 说明不得在自动运行脚本、控制命令等地方出现Websphere明文口令，例如cron脚本检测操作步 骤以root身份执行：#ps -ef|grep - WebSphere#su -WebSphere user name - c “ cron tab - 1 ”#cron tab -l基线符合性 判定依据要求回显内容中不含口令字备注2.1.4密码复杂度安全基线项 目名称WebSphere密码复杂度安全基线要求项安

6、全基线编 号SBL-WebSphere-02-01-04安全基线项 说明对于米用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每 90天进行更换。检测操作步 骤1、参考配置操作查看 WebSphere安装目录下的配置文件2、补充操作说明口令要求：口令长度至少8位，并包括数字、小与字母、大与字母和特殊符号四类中至少两类。 且5次以内不得设置相同的口令。密码应至少每90天进行更换。基线符合性 判定依据1、判定条件备注2.2认证授权2.2.1控制台安全安全基线项 目名称WebSphere控制台安全基线要求项安

7、全基线编 号SBL-WebSphere-02-02-01安全基线项 说明Cosnaming服务权限设置过大会引入安全隐患检测操作步 骤以管理员身份打开管理控制台，执行：1. 点击“环境”->命名->CORBA命名服务用户2. 查看服务用户3. 点击“环境”->命名->CORBA命名服务组4. 查看服务组授权基线符合性 判定依据要求EVERYONE组已删除，并且 ALL_AUTHENTICATED组角色仅设为”控制台命名读”备注2.2.2全局安全性与 Java2安全安全基线项 目名称WebSphere全局安全性与 Java2安全基线要求项安全基线编 号SBL-WebSph

8、ere-02-02-02安全基线项 说明启用全局安全性，控制登录管理控制台，冋时应用程序将可以使用 WebSphere 的安全特性Java 2安全性在J2EE基于角色的授权之上提供访问控制保护的 额外级别。它特别处理系统资源和API的保护，不启用Java2安全性会极大减弱应用的安全强度。检测操作步 骤1. 打开管理控制台2. 点击“安全性”-> ”全局安全性”查看“启用全局安全性”和“强制Java 2安全性”是否启用基线符合性 判定依据要求“启用全局安全性”和“强制Java 2安全性”启用备注第3章日志配置操作3.1 日志配置3.1.1日志与记录安全基线项 目名称WebSphere日志记

9、录安全基线要求项安全基线编 号SBL-WebSphere-03-01-01安全基线项 说明启用日志可以回溯事件进行检查或审计，日志详细信息级别如果配置不当， 会缺少必要的审计信息检测操作步 骤以管理员身份打开管理控制台，执行：1. 查看设置日志的输出属性：在导航窗格中，单击服务器 应用程序服务器-单击您要使用的服务器 的名称-在“故障诊断”下面，单击日志记录和跟踪-单击要配置的系统日 志（诊断跟踪、静态更改，单击”配置”选项卡，动态更改点击”运行时”选项卡。2. 查看日志设置日志级别。在导航窗格中，单击服务器 应用程序服务器-单击您要使用的服务器的名称。-在“故障诊断”下面，单击日志记录和跟踪

10、，查看日志详细信息级别基线符合性 判定依据要求启用所有日志，并配置日志详细信息级别为*=i nfo: SecurityMa nager=all:SystemOut=all备注第4章备份容错4.1 备份容错安全基线项 目名称WebSphere备份容错安全基线要求项安全基线编 号SBL-WebSphere-04-01-01安全基线项 说明某非法操作或误操作可能导致服务器崩溃，需要对WebSphere的配置文件进行日常备份保护，保证应用系统的可用性检测操作步 骤访谈与实地了解针对 Web应用的当前备份容错机制基线符合性 判定依据要求备份容错机制中针对配置文件、主程序等的备份周期，介质及内容达到Web

11、应用需求备注第5章设备其他配置操作5.1 安全管理5.1.1控制台超时设置安全基线项 目名称WebSphere控制台超时设置安全基线要求项安全基线编 号SBL-WebSphere-05-01-01安全基线项 说明控制台会话默认30分钟timeout,要求设置不大于10分钟检测操作步 骤1.用文本编辑器打开文件$WAS_HOME/systemApps/admi neon sole.ear/deployme nt.xml 查看 in validati on Timeout 的值基线符合性 判定依据invalidationTimeout 的值不得大于 30备注5.1.2示例程序删除安全基线项 目名称

12、WebSphere示例程序删除安全基线要求项安全基线编 号SBL-WebSphere-05-01-02安全基线项 说明sample例子程序会泄露系统敏感信息，存在较大的安全隐患检测操作步 骤以管理员身份打开管理控制台，执行：1.点击“应用程序”-> ”企业应用程序”基线符合性 判定依据不得存在” DefaultApplieation、”“PlantsByWebSphere、“SamplesGallery”、“ ivtApp ”等例子程序备注5.1.3错误页面处理安全基线项 目名称WebSphere错误页面安全基线要求项安全基线编 号SBL-WebSphere-05-01-03安全基线项

13、说明如果没有定义默认错误网页，则当应用程序出错时会显示内部出错信息，暴露系统和应用的敏感信息检测操作步 骤以root身份执行：grep -i defaultErrorPage$WAS_HOME/<profilepath>/co nfig/cells/<host name/applicatio ns/ vyourapplicati on> .ear/<yourapplicati on> .war/WEB-INF/ibm-web-ext.xmi基线符合性 判定依据要求defaultErrorPage=设置为疋义错误页面备注5.1.4文件访问限制安全基线项 目名称

14、WebSphere文件访冋安全基线要求项安全基线编 号SBL-WebSphere-05-01-04安全基线项 说明禁止WebSphere列表显示文件检测操作步 骤以root身份执行：grep - fileServi ngEn abled$WAS_HOME/<profilepath>/co nfig/cells/<host name/applicatio ns/<yourapplicati on> .ear/<yourapplicati on> .war/WEB-INF/ibm-web-ext.xmi基线符合性 判定依据要求 fileServingEna

15、bled= false备注5.1.5目录列出访问限制安全基线项 目名称WebSphere目录列出安全基线要求项安全基线编 号SBL-WebSphere-05-01-05安全基线项 说明禁止 WebSphere浏览、列表显示目录检测操作步 骤以root身份执行：grep - directoryBrowsi ngEn abled$WAS_HOME/<profilepath>/co nfig/cells/<host name/applicatio ns/ vyourapplicati on> .ear/<yourapplicati on> .war/WEB-INF

16、/ibm-web-ext.xmi基线符合性 判定依据要求 directoryBrowsingEnabled= false备注5.1.6控制目录权限安全基线项 目名称WebSphere控制目录权限安全基线要求项安全基线编 号SBL-WebSphere-05-01-06安全基线项 说明config和properties等控制目录权限不当会导致严重后果检测操作步 骤检查 config 与 properties目录及子 目录访问权限基线符合性 判定依据要求该目录仅能root权限可写，一般目录设置权限750备注5.1.7补丁管理*安全基线项 目名称WebSphere补丁管理安全基线要求项安全基线编 号SBL-WebSphere-05-01