WebSphere Web服务器安全配置基线

WebSphereWeb服务器安全配置基线中国移动通信有限公司管理信息系统部2012年04月

版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 4\o"CurrentDocument"目的 4适用范围 4\o"CurrentDocument"适用版本 4\o"CurrentDocument"实施 4\o"CurrentDocument"例外条款 4\o"CurrentDocument"第2章帐号管理、认证授权 5\o"CurrentDocument"帐号 5\o"CurrentDocument"应用程序角色 5\o"CurrentDocument"控制台帐号安全 5口令管理 6\o"CurrentDocument"密码复杂度 6\o"CurrentDocument"认证授权 7\o"CurrentDocument"控制台安全 7\o"CurrentDocument"全局安全性与Java2安全 7\o"CurrentDocument"第3章日志配置操作 9\o"CurrentDocument"日志配置 9\o"CurrentDocument"日志与记录 9\o"CurrentDocument"第4章 备份容错 10\o"CurrentDocument"备份容错 10\o"CurrentDocument"第5章 设备其他配置操作 11\o"CurrentDocument"安全管理 11\o"CurrentDocument"控制台超时设置 11\o"CurrentDocument"示例程序删除 11\o"CurrentDocument"错误页面处理 12\o"CurrentDocument"文件访问限制 12\o"CurrentDocument"目录列出访问限制1 12\o"CurrentDocument"控制目录权限 13\o"CurrentDocument"补丁管理* 13\o"CurrentDocument"第6章评审与修订 15

第1章:概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebSphereWeb服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebSphereWeb服务器的安全配置。1.2适用范1.2适用范本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理 的WebSphereWeb服务器系统。1.3适用版本6.x版本的WebSphereWeb服务器。1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章帐号管理、认证授权2.1帐号2.1.1应用程序角色安全基线项目名称WebSphere应用程序角色安全基线要求项安全基线编号SBL-WebSphere-02-01-01安全基线项说明要求为应用用户定义合适的角色检测操作步骤以管理员身份打开管理控制台,执行：点击“应用程序”-->”企业应用程序”双击要查看的应用程序点击“其它属性”中的”映射安全性角色到用户/组”基线符合性判定依据要求安全角色映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”备注2.1.2控制台帐号安全安全基线项目名称WebSphere控制台帐号安全安全基线要求项安全基线编号SBL-WebSphere-02-01-02安全基线项说明特权管理帐号在多个用户间共享，会引发很多安全问题，企业无法控制配置上的安全，不易定位安全事件责任人，同时特权帐号非法使用者还可抹去审计信息检测操作步骤以管理员身份打开管理控制台,执行：点击“系统管理”-->”控制台设置”-->“控制台用户”点击要查看的用户名查看用户所属组基线符合性判定依据要求不得出现共用特权管理帐号，管理帐号必须按角色分配用户角色为monitor（监控员）、Configurator（配置员）、Operator（操作员）Administrator（管理员）之一

2.1.3口令管理安全基线项目名称WebSphere口令安全基线要求项安全基线编号SBL-WebSphere-02-01-03安全基线项说明不得在自动运行脚本、控制命令等地方出现Websphere明文口令，例如cron脚本检测操作步骤以root身份执行：#ps-eflgrep-iWebSphere#su-WebSphere_username-c“crontab-l”#crontab-l基线符合性判定依据要求回显内容中不含口令字备注2.1.4密码复杂度安全基线项目名称WebSphere密码复杂度安全基线要求项安全基线编号SBL-WebSphere-02-01-04安全基线项说明对于米用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、 参考配置操作查看WebSphere安装目录下的配置文件2、 补充操作说明口令要求：口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。基线符合性判定依据1、判定条件备注

2.2认证授权2.2.1控制台安全安全基线项目名称WebSphere控制台安全基线要求项安全基线编号SBL-WebSphere-02-02-01安全基线项说明Cosnaming服务权限设置过大会引入安全隐患检测操作步骤以管理员身份打开管理控制台,执行：点击“环境”-->命名-->CORBA命名服务用户查看服务用户点击“环境”-->命名-->CORBA命名服务组查看服务组授权基线符合性判定依据要求EVERYONE组已删除，并且ALL_AUTHENTICATED组角色仅设为”控制台命名读”备注2.2.2全局安全性与Java2安全安全基线项目名称WebSphere全局安全性与Java2安全基线要求项安全基线编号SBL-WebSphere-02-02-02安全基线项说明启用全局安全性，控制登录管理控制台，同时应用程序将可以使用WebSphere的安全特性,Java2安全性在J2EE基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和API的保护，不启用Java2安全性会极大减弱应用的安全强度。检测操作步骤打开管理控制台点击“安全性”-->”全局安全性”查看“启用全局安全性”和“强制Java2安全性”是否启用基线符合性判定依据要求“启用全局安全性”和“强制Java2安全性”启用备注第3章日志配置操作3.1日志配置3.1.1日志与记录安全基线项目名称WebSphere日志记录安全基线要求项安全基线编号SBL-WebSphere-03-01-01安全基线项说明启用日志可以回溯事件进行检查或审计，日志详细信息级别如果配置不当，会缺少必要的审计信息检测操作步骤以管理员身份打开管理控制台,执行：查看设置日志的输出属性：在导航窗格中，单击服务器＞应用程序服务器--＞单击您要使用的服务器的名称--＞在“故障诊断”下面，单击日志记录和跟踪--＞单击要配置的系统日志（诊断跟踪、静态更改，单击”配置”选项卡,动态更改点击”运行时”选项卡。查看日志设置日志级别。在导航窗格中，单击服务器＞应用程序服务器--＞单击您要使用的服务器的名称。--＞在“故障诊断”卜面，单击日志记录和跟踪，查看日志详细信息级别基线符合性判定依据要求启用所有日志，并配置日志详细信息级别为*=info:SecurityManager=all:SystemOut=all备注第4章备份容错4.1备份容错安全基线项目名称WebSphere备份容错安全基线要求项安全基线编号SBL-WebSphere-04-01-01安全基线项说明某非法操作或误操作可能导致服务器崩溃，需要对WebSphere的配置文件进行日常备份保护，保证应用系统的可用性.检测操作步骤访谈与实地了解针对Web应用的当前备份容错机制基线符合性判定依据要求备份容错机制中针对配置文件、主程序等的备份周期，介质及内容达到Web应用需求备注第5章设备其他配置操作5.1安全管理5.1.1控制台超时设置安全基线项目名称WebSphere控制台超时设置安全基线要求项安全基线编号SBL-WebSphere-05-01-01安全基线项说明控制台会话默认30分钟timeout，要求设置不大于10分钟检测操作步骤1.用文本编辑器打开文件$WAS_HOME/systemApps/adminconsole.ear/deployment.xml查看invalidationTimeout的值基线符合性判定依据invalidationTimeout的值不得大于30备注5.1.2示例程序删除安全基线项目名称WebSphere示例程序删除安全基线要求项安全基线编号SBL-WebSphere-05-01-02安全基线项说明sample例子程序会泄露系统敏感信息，存在较大的安全隐患检测操作步骤以管理员身份打开管理控制台,执行：1.点击“应用程序”-->”企业应用程序”基线符合性判定依据不得存在”DefaultApplication”、“PlantsByWebSphere"、"SamplesGallery”、“ivtApp”等例子程序备注

5.1.3错误页面处理安全基线项目名称WebSphere错误页面安全基线要求项安全基线编号SBL-WebSphere-05-01-03安全基线项说明如果没有定义默认错误网页，则当应用程序出错时会显示内部出错信息，暴露系统和应用的敏感信息检测操作步骤以root身份执行：grep-idefaultErrorPage$WAS_HOME/vprofilepath>/config/cells/vhostname>/applications/<yourapplication>.ear/<yourapplication>,war/WEB-INF/ibm-web-ext.xmi基线符合性判定依据要求defaultErrorPage=设置为定义错误页面备注5.1.4文件访问限制安全基线项目名称WebSphere文件访问安全基线要求项安全基线编号SBL-WebSphere-05-01-04安全基线项说明禁止WebSphere列表显示文件检测操作步骤以root身份执行：grep-ifileServingEnabled$WAS_HOME/vprofilepath>/config/cells/vhostname>/applications/<yourapplication>.ear/vyourapplication>.war/WEB-INF/ibm-web-ext.xmi基线符合性判定依据要求fileServingEnabled=”false”备注5.1.5目录列出访问限制安全基线项目名称WebSphere目录列出安全基线要求项

安全基线编号SBL-WebSphere-05-01-05安全基线项说明禁止WebSphere浏览、列表显示目录检测操作步骤以root身份执行：grep-idirectoryBrowsingEnabled$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapp