系統(tǒng)安全配置技術(shù)規(guī)范-Websphere

..系統(tǒng)安全配置技術(shù)規(guī)范—Websphere版本V0.9日期2013-06-03文檔編號文檔發(fā)布文檔說明〔一變更信息版本號變更日期變更者變更理由/變更內(nèi)容備注〔二文檔審核人姓名職位簽名日期

目錄1.適用范圍42.帳號管理與授權(quán)42.1[基本]控制臺帳號安全42.2[基本]帳號的口令安全42.3[基本]為應(yīng)用用戶定義合適的角色52.4[基本]控制臺安全52.5[基本]全局安全性與Java2安全63.日志配置要求63.1[基本]開啟應(yīng)用日志記錄64.服務(wù)配置要求74.1[基本]禁止列表顯示文件74.2[基本]禁止瀏覽列表顯示目錄74.3[基本]刪除示例程序84.4[基本]控制臺超時設(shè)置84.5[基本]更新WebSphere補丁84.6[基本]備份容錯94.7設(shè)置錯誤頁面94.8配置SSL訪問94.9控制目錄權(quán)限115.操作系統(tǒng)配置要求11適用范圍如無特殊說明,本規(guī)范所有配置項適用于IBMWebSphereApplicationServer<WAS>6.x,7.x,8.x版本。其中標示為"基本"字樣的配置項,均為本公司對此類系統(tǒng)的基本安全配置要求；未標示"基本"字樣的配置項,請各系統(tǒng)管理員視實際需求酌情遵從。帳號管理與授權(quán)[基本]控制臺帳號安全配置項描述配置WebSphere控制臺帳號安全,要求按權(quán)利需要分配不同用戶角色,同時保證權(quán)限最小化檢查方法以管理員身份打開管理控制臺,執(zhí)行：點擊"系統(tǒng)管理"-->"控制臺設(shè)置"-->"控制臺用戶"點擊要查看的用戶名查看用戶所屬組操作步驟要求不得出現(xiàn)共用特權(quán)管理帳號,管理帳號必須按角色分配用戶角色為monitor〔監(jiān)控員、Configurator<配置員>、Operator〔操作員Administrator<管理員>之回退操作回退到原有的配置設(shè)置操作風險低風險[基本]帳號的口令安全配置項描述配置WebSphere口令安全,要求用戶口令至少6位,包括大小寫,數(shù)字和符號中的至少兩種檢查方法詢問管理員是否存在如下類似的簡單用戶密碼配置,比如：Test、netscreen、admin、root1234操作步驟檢查用戶口令的設(shè)置情況,檢查是否存在簡單密碼。要求密碼長度最少為6位,包含大小寫字母、數(shù)字和特殊符號,密碼變更周期?；赝瞬僮骰赝说皆械呐渲迷O(shè)置操作風險低風險[基本]為應(yīng)用用戶定義合適的角色配置項描述為應(yīng)用用戶定義合適的角色,根據(jù)用戶的需求,為用戶分配不同的權(quán)限檢查方法以管理員身份打開管理控制臺,執(zhí)行：點擊"應(yīng)用程序"-->"企業(yè)應(yīng)用程序"雙擊要查看的應(yīng)用程序點擊"其它屬性"中的"映射安全性角色到用戶/組"操作步驟要求安全角色映射到"每個用戶"、"所有已認證用戶"、"已映射的用戶"、"已映射的組"以管理員身份打開管理控制臺,執(zhí)行：點擊"應(yīng)用程序"-->"企業(yè)應(yīng)用程序"雙擊要查看的應(yīng)用程序點擊"其它屬性"中的"映射安全性角色到用戶/組",編輯用戶角色回退操作回退到原有的配置設(shè)置操作風險需要確認應(yīng)用程序用戶角色[基本]控制臺安全配置項描述設(shè)置WebSphere控制臺安全,要求EVERYONE組已刪除,并且ALL_AUTHENTICATED組角色僅設(shè)為"控制臺命名讀"檢查方法以管理員身份打開管理控制臺,執(zhí)行：點擊"環(huán)境"-->命名-->CORBA命名服務(wù)用戶查看服務(wù)用戶點擊"環(huán)境"-->命名-->CORBA命名服務(wù)組查看服務(wù)組授權(quán)操作步驟以管理員身份打開管理控制臺,執(zhí)行：點擊"環(huán)境"-->命名-->CORBA命名服務(wù)用戶編輯服務(wù)用戶點擊"環(huán)境"-->命名-->CORBA命名服務(wù)組編輯服務(wù)組授權(quán)回退操作回退到原有的配置設(shè)置操作風險低風險[基本]全局安全性與Java2安全配置項描述Java2安全性在J2EE基于角色的授權(quán)之上提供訪問控制保護的額外級別。它特別處理系統(tǒng)資源和API的保護,不啟用Java2安全性會極大減弱應(yīng)用的安全強度。檢查方法打開管理控制臺點擊"安全性"-->"全局安全性"查看"啟用全局安全性"和"強制Java2安全性"是否啟用操作步驟打開管理控制臺點擊"安全性"-->"全局安全性"勾選"啟用全局安全性"和"強制Java2安全性"回退操作回退到原有的配置設(shè)置操作風險低風險日志配置要求[基本]開啟應(yīng)用日志記錄配置項描述開啟WebSphere日志記錄,對設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄檢查方法以管理員身份打開管理控制臺,執(zhí)行：1.查看設(shè)置日志的輸出屬性：在導航窗格中,單擊服務(wù)器>應(yīng)用程序服務(wù)器-->單擊您要使用的服務(wù)器的名稱-->在"故障診斷"下面,單擊日志記錄和跟蹤-->單擊要配置的系統(tǒng)日志〔診斷跟蹤、靜態(tài)更改,單擊"配置"選項卡,動態(tài)更改點擊"運行時"選項卡。2.查看日志設(shè)置日志級別。在導航窗格中,單擊服務(wù)器>應(yīng)用程序服務(wù)器-->單擊您要使用的服務(wù)器的名稱。-->在"故障診斷"下面,單擊日志記錄和跟蹤,查看日志詳細信息級別。操作步驟要求啟用所有日志,并配置日志詳細信息級別為*=info:SecurityManager=all:SystemOut=all回退操作回退到原有的配置設(shè)置操作風險占用一定磁盤空間服務(wù)配置要求[基本]禁止列表顯示文件配置項描述WebSphere文件訪問,禁止WebSphere列表顯示文件檢查方法查看fileServingEnabled參數(shù)設(shè)置文件該文件位于WAR文件下的WEB-INF擴展中的ibm-web-ext.xmi文件中$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi操作步驟修改fileServingEnabled參數(shù)設(shè)置為false該文件位于WAR文件下的WEB-INF擴展中的ibm-web-ext.xmi文件中$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi要求fileServingEnabled="false"回退操作修改fileServingEnabled參數(shù)設(shè)置為原有參數(shù)該文件位于WAR文件下的WEB-INF擴展中的ibm-web-ext.xmi文件中$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi要求fileServingEnabled=原有參數(shù)操作風險低風險[基本]禁止瀏覽列表顯示目錄配置項描述WebSphere目錄列出,禁止WebSphere瀏覽、列表顯示目錄檢查方法Linux下：以root身份執(zhí)行：grep–idirectoryBrowsingEnabled$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmiWindows下：安裝路徑：\AppServer\profiles\BBS\config\cells\<hostname>\applications\<yourapplication>.ear\<yourapplication>_war\<yourapplication>.war\WEB-INF\ibm-web-ext.xmi操作步驟要求directoryBrowsingEnabled="false"回退操作directoryBrowsingEnabled=原有參數(shù)操作風險低風險[基本]刪除示例程序配置項描述WebSphere示例程序刪除,防止攻擊者利用默認的實例程序,威脅系統(tǒng)安全檢查方法以管理員身份打開管理控制臺,執(zhí)行：1.點擊"應(yīng)用程序"-->"企業(yè)應(yīng)用程序"操作步驟刪除"DefaultApplication"、"PlantsByWebSphere"、"SamplesGallery"、"ivtApp"等例子程序回退操作無操作風險需確認例子程序是否有用途[基本]控制臺超時設(shè)置配置項描述WebSphere控制臺超時設(shè)置檢查方法1.用文本編輯器打開文件$WAS_HOME/systemApps/adminconsole.ear/deployment.xml查看invalidationTimeout的值操作步驟invalidationTimeout的值不得大于10回退操作回退到原有的配置設(shè)置操作風險低風險[基本]更新WebSphere補丁配置項描述及時更新WebSphere補丁,修復系統(tǒng)漏洞,提高系統(tǒng)穩(wěn)定性檢查方法Linux下：以root權(quán)限執(zhí)行查看命令<包含補丁安裝信息>：$WAS_HOME/bin/versioninfo.sh

$WAS_HOME/bin/historyinfo.sh$WAS_HOME/bin/genHistoryReport.sh$WAS_HOME/bin/genVersionReport.shWindows下：查看文件c:\WebSphere\AppServer\properties\com\ibm\websphere\product.xml,確定版本信息操作步驟要求Websphere更新了必要的補丁,要求補丁更新至最新回退操作回退版本操作風險未經(jīng)測試的補丁可能導致系統(tǒng)不可用[基本]備份容錯配置項描述開啟WebSphere備份容錯功能檢查方法訪談與實地了解針對Web應(yīng)用的當前備份容錯機制操作步驟要求備份容錯機制中針對配置文件、主程序等的備份周期,介質(zhì)及內(nèi)容達到Web應(yīng)用需求回退操作回退到原有的配置設(shè)置操作風險低風險設(shè)置錯誤頁面配置項描述將WebSphere錯誤頁面指向自定義頁面檢查方法Linux下：以root身份執(zhí)行:grep-idefaultErrorPage$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmiWindows下：安裝路徑/IBMServer/conf/d.conf,檢查500、404、402等錯誤頁面配置操作步驟要求將配置文件中defaultErrorPage=設(shè)置為定義錯誤頁面回退操作恢復默認配置操作風險系統(tǒng)通常會限制錯誤頁面大小,超過一定大小的錯誤頁面無法正常顯示配置SSL訪問配置項描述配置SSL協(xié)議,確保敏感數(shù)據(jù)的傳輸安全檢查方法Linux下：netstat–an|grep443Windows下：netstat-aon|findstr"443"查看443端口是否被占用操作步驟創(chuàng)建證書從IBMServer6.0打開"密鑰管理實用程序"在菜單欄單擊"密鑰管理實用程序"點擊新建,創(chuàng)建"密鑰數(shù)據(jù)庫文件選擇CMS類型,文件名wcmkey.kdb,位置選在IBMIHS安裝目錄的etc目錄下,點擊確定,出現(xiàn)輸入密碼界面填好密碼、到期時間和密碼存儲方式后,點擊確定,然后點擊"創(chuàng)建"菜單,選擇"創(chuàng)建自簽署證書"填好證書資料后,點擊確定,創(chuàng)建自簽署證書成功了。下面將證書導出為p12格式的證書文件輸入證書密碼后,導出證書就成功了,這樣客戶機訪問的時候,直接將證書導入或安裝就可以了配置IBMIHS的配置文件d.conf添加如下配置代碼LoadModuledeflate_modulemodules/mod_deflate.so

#AddOutputFilterByTypeDEFLATEtext/htmltext/plaintext/xmlListen218.73.64.129:80

Listen218.73.64.134:443Alias/webpic"F:/trswcm/webpic.ear/webpic.war"

Alias/pub"F:/trswcm/pub.ear/pub.war"

Alias/template"F:/trswcm/template.ear/template.war"AddTypetext/html.htm

AddHandlerserver-parsed.htm

AddTypetext/html.asp

AddHandlerserver-parsed.asp<VirtualHost218.73.64.129:80>

DocumentRoot"F:/trswcm/pub.ear/pub.war"

DirectoryIndexindex.htmlindex.html.var

</VirtualHost><VirtualHost218.73.64.134:443>

DocumentRoot"F:/trswcm/pub.ear/pub.war"

DirectoryIndexinde