WebSphere-Web服务器安全配置基线

WebSphereWeb服务器安全配置基线中国移动通信有限公司管理信息系统部2012年04月

版本版本控制信息更新日期更新人审批人创建2009年1月更新2012年4月备注：若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目录第1章 概述 4 目的 4 适用范围 4 适用版本 4 实施 4 例外条款 4第2章 帐号管理、认证授权 5 帐号 5 应用程序角色 5 控制台帐号安全 5 口令管理 6 密码复杂度 6 认证授权 7 控制台安全 7 全局安全性与Java2安全 7第3章 日志配置操作 9 日志配置 9 日志与记录 9第4章 备份容错 10 备份容错 10第5章 设备其他配置操作 11 安全管理 11 控制台超时设置 11 示例程序删除 11 错误页面处理 12 文件访问限制 12 目录列出访问限制 12 控制目录权限 13 补丁管理* 13第6章 评审与修订 15概述目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebSphereWeb服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebSphereWeb服务器的安全配置。适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的WebSphereWeb服务器系统。适用版本版本的WebSphereWeb服务器。实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。帐号管理、认证授权帐号应用程序角色安全基线项目名称WebSphere应用程序角色安全基线要求项安全基线编号SBL-WebSphere-02-01-01安全基线项说明要求为应用用户定义合适的角色检测操作步骤以管理员身份打开管理控制台,执行：点击“应用程序”-->”企业应用程序”双击要查看的应用程序点击“其它属性”中的”映射安全性角色到用户/组”基线符合性判定依据要求安全角色映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”备注控制台帐号安全安全基线项目名称WebSphere控制台帐号安全安全基线要求项安全基线编号SBL-WebSphere-02-01-02安全基线项说明特权管理帐号在多个用户间共享，会引发很多安全问题，企业无法控制配置上的安全，不易定位安全事件责任人,同时特权帐号非法使用者还可抹去审计信息检测操作步骤以管理员身份打开管理控制台,执行：点击“系统管理”-->”控制台设置”-->“控制台用户”点击要查看的用户名3.查看用户所属组基线符合性判定依据要求不得出现共用特权管理帐号，管理帐号必须按角色分配用户角色为monitor（监控员）、Configurator(配置员)、Operator（操作员）Administrator(管理员)之一备注口令管理安全基线项目名称WebSphere口令安全基线要求项安全基线编号SBL-WebSphere-02-01-03安全基线项说明不得在自动运行脚本、控制命令等地方出现Websphere明文口令，例如cron脚本检测操作步骤以root身份执行：#ps–ef|grep–iWebSphere#su–WebSphere_username–c“crontab–l”#crontab-l基线符合性判定依据要求回显内容中不含口令字备注密码复杂度安全基线项目名称WebSphere密码复杂度安全基线要求项安全基线编号SBL-WebSphere-02-01-04安全基线项说明对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作查看WebSphere安装目录下的配置文件2、补充操作说明口令要求：口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。基线符合性判定依据1、判定条件备注

认证授权控制台安全安全基线项目名称WebSphere控制台安全基线要求项安全基线编号SBL-WebSphere-02-02-01安全基线项说明Cosnaming服务权限设置过大会引入安全隐患检测操作步骤以管理员身份打开管理控制台,执行：点击“环境”-->命名-->CORBA命名服务用户查看服务用户点击“环境”-->命名-->CORBA命名服务组查看服务组授权基线符合性判定依据要求EVERYONE组已删除，并且ALL_AUTHENTICATED组角色仅设为”控制台命名读”备注全局安全性与Java2安全安全基线项目名称WebSphere全局安全性与Java2安全基线要求项安全基线编号SBL-WebSphere-02-02-02安全基线项说明启用全局安全性，控制登录管理控制台，同时应用程序将可以使用WebSphere的安全特性,Java2安全性在J2EE基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和API的保护，不启用Java2安全性会极大减弱应用的安全强度。检测操作步骤打开管理控制台点击“安全性”-->”全局安全性”查看“启用全局安全性”和“强制Java2安全性”是否启用基线符合性判定依据要求“启用全局安全性”和“强制Java2安全性”启用备注

日志配置操作日志配置日志与记录安全基线项目名称WebSphere日志记录安全基线要求项安全基线编号SBL-WebSphere-03-01-01安全基线项说明启用日志可以回溯事件进行检查或审计，日志详细信息级别如果配置不当，会缺少必要的审计信息检测操作步骤以管理员身份打开管理控制台,执行：1.查看设置日志的输出属性：在导航窗格中，单击服务器>应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面，单击日志记录和跟踪-->单击要配置的系统日志（诊断跟踪、静态更改，单击”配置”选项卡,动态更改点击”运行时”选项卡。2.查看日志设置日志级别。在导航窗格中，单击服务器>应用程序服务器-->单击您要使用的服务器的名称。-->在“故障诊断”下面，单击日志记录和跟踪,查看日志详细信息级别基线符合性判定依据要求启用所有日志，并配置日志详细信息级别为*=info:SecurityManager=all:SystemOut=all备注

备份容错备份容错安全基线项目名称WebSphere备份容错安全基线要求项安全基线编号SBL-WebSphere-04-01-01安全基线项说明某非法操作或误操作可能导致服务器崩溃，需要对WebSphere的配置文件进行日常备份保护，保证应用系统的可用性.检测操作步骤访谈与实地了解针对Web应用的当前备份容错机制基线符合性判定依据要求备份容错机制中针对配置文件、主程序等的备份周期，介质及内容达到Web应用需求备注

设备其他配置操作安全管理控制台超时设置安全基线项目名称WebSphere控制台超时设置安全基线要求项安全基线编号SBL-WebSphere-05-01-01安全基线项说明控制台会话默认30分钟timeout,要求设置不大于10分钟检测操作步骤1.用文本编辑器打开文件$WAS_HOME/systemApps/查看invalidationTimeout的值基线符合性判定依据invalidationTimeout的值不得大于30备注示例程序删除安全基线项目名称WebSphere示例程序删除安全基线要求项安全基线编号SBL-WebSphere-05-01-02安全基线项说明sample例子程序会泄露系统敏感信息，存在较大的安全隐患检测操作步骤以管理员身份打开管理控制台,执行：1.点击“应用程序”-->”企业应用程序”基线符合性判定依据不得存在”DefaultApplication”、“PlantsByWebSphere“、“SamplesGallery”、“ivtApp”等例子程序备注错误页面处理安全基线项目名称WebSphere错误页面安全基线要求项安全基线编号SBL-WebSphere-05-01-03安全基线项说明如果没有定义默认错误网页，则当应用程序出错时会显示内部出错信息,暴露系统和应用的敏感信息检测操作步骤以root身份执行:grep-idefaultErrorPage$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/基线符合性判定依据要求defaultErrorPage=设置为定义错误页面备注文件访问限制安全基线项目名称WebSphere文件访问安全基线要求项安全基线编号SBL-WebSphere-05-01-04安全基线项说明禁止WebSphere列表显示文件检测操作步骤以root身份执行：grep–ifileServingEnabled$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/基线符合性判定依据要求fileServingEnabled=”false”备注目录列出访问限制安全基线项目名称WebSphere目录列出安全基线要求项安全基线编号SBL-WebSphere-05-01-05安全基线项说明禁止WebSphere浏览、列表显示目录检测操作步骤以root身份执行：grep–idirectoryBrowsingEnabled$WAS_HOME/<profi