TongWeb 服務(wù)器安全配置基線

TongWeb服務(wù)器

安全配置基線

版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"適用范圍 1\o"CurrentDocument"適用版本 1\o"CurrentDocument"實施 1\o"CurrentDocument"例外條款 1\o"CurrentDocument"第2章賬號管理、認證授權(quán) 1\o"CurrentDocument"帳號 1\o"CurrentDocument"應(yīng)用帳號分配 1\o"CurrentDocument"用戶口令設(shè)置 2\o"CurrentDocument"用戶帳號刪除 3\o"CurrentDocument"認證授權(quán) 4\o"CurrentDocument"控制臺安全 4\o"CurrentDocument"第3章日志配置操作 6\o"CurrentDocument"日志配置 6\o"CurrentDocument"日志與記錄 6\o"CurrentDocument"第4章備份容錯 8\o"CurrentDocument"備份容錯 8\o"CurrentDocument"第5章 IP協(xié)議安全配置 9\o"CurrentDocument"IP通信安全協(xié)議 9\o"CurrentDocument"第6章 設(shè)備其他配置操作 11\o"CurrentDocument"安全管理 11\o"CurrentDocument"禁止應(yīng)用程序可顯 11\o"CurrentDocument"端口設(shè)置* 12\o"CurrentDocument"錯誤頁面處理 13\o"CurrentDocument"第7章評審與修訂 15第1章概述1.1目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進行TongWeb服務(wù)器的安全配置。1.2適用范|本配置標準的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。1.3適用版本5.x版本的TongWeb服務(wù)器。1.4實施1.5例外條款第2章賬號管理、認證授權(quán)2.1帳號2.1.1應(yīng)用帳號分配安全基線項目名稱TongWeb應(yīng)用帳號分配安全基線要求安全基線編號SBL-TongWeb-02-01-01安全基線項應(yīng)按照用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設(shè)備間通

2.1.2用戶口令設(shè)置安全基線項目名稱TongWeb用戶口令設(shè)置安全基線要求項

安全基線編號SBL-TongWeb-02-01-02安全基線項說明對于米用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進行更換。檢測操作步驟進行口令的修改或者添加，如圖操作：I林配直"女球給偵生政"官穌尸|第一步：在列表中找到相 a■知 用戶ID 組列表廠 tongwebuserl 第二步：點擊用戶ID列下的用戶名tongwebuser tongweb新建 L + + 1n \ twns tongweb刪除 基本屆性.用戶IDtongwebuser組列表[tongweb新笛硯1 < 埴寫新密碼并礪認，保存即可確認密碼1 1II 1保存愀消基線符合性判定依據(jù)1、 判定條件檢查帳號口令是否符合口令復(fù)雜度要求。2、 檢測操作人工檢查登錄頁面測試帳號口令是否符合；備注2.1.3用戶帳號刪除安全基線項目名稱TongWeb用戶帳號刪除安全基線要求項安全基線編號SBL-TongWeb-02-01-03安全基線項說明應(yīng)用刪除或鎖定與設(shè)備運行、維護等工作無關(guān)的賬號。檢測操作步驟刪除無關(guān)用戶，如圖操作：|服務(wù)配置"安全服務(wù)"安全域"管理用戶| 第一步：在列表中找到安全域并且點擊管理用戶Q 用戶ID 組列表tVJ 第二步：勾選 tongwebuser tongweb1 廠 twns tongweb|落 第三步：點擊冊1除按鈕即可

基線符合性判定依據(jù)1、 判定條件刪除的用戶tongwebuser不能通過控制臺登錄界面進入主頁。2、 檢測操作訪問http://ip:8080/twns官理頁面，使用刪除帳號進仃登陸嘗試。備注2.2認證授權(quán)2.2.1控制臺安全安全基線項目名稱TongWeb控制臺安全基線要求項安全基線編號SBL-TongWeb-02-02-01安全基線項說明限制登陸管理控制臺的服務(wù)器，夕卜網(wǎng)用戶訪問管理控制臺，進行非法操作檢測操作步驟登陸管理控制臺，“服務(wù)配置”3“WEB容器”3“虛擬主機”，如下圖：服務(wù)配置-=WEB容器虛擬主機0 ,名稱， 主機名| | ${tongweb.hostName}削建 廠 !=；Rrvp.r ：J-l'tonav/eb.hostName}H刪除選擇“admin”，如下圖：遠程過濾允許訪問的遠程地址[1E.11CM11([1拒絕訪問的遠程地址|充許訪問的遠程主機|拒絕訪問的遠程主機|允許訪問的遠程地址：具體的IP或正則表達式。本例中為正則表達式：10\.110\.111\.([1][9][3-9]|[2][0-5][0-9])，允許93-255網(wǎng)段的IP訪問管理控制臺基線符合性判定依據(jù)該設(shè)置需要重啟TongWeb才能生效備注第3章日志配置操作3.1日志配置3.1.1日志與記錄安全基線項

目名稱安全基線編號安全基線項說明檢測操作步

驟TongWeb日志記錄安全基線要求項SBL-TongWeb-03-01-01設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。TongWeb默認的訪問日志是關(guān)閉了的，可以修改虛擬主機打開訪問日志，訪問日志中記錄了客戶端訪問的本機IP、訪問時間、訪問的資源、請求使用的協(xié)議以及返回的狀態(tài)碼等內(nèi)容，若發(fā)現(xiàn)有攻擊現(xiàn)象可以打開訪問日志，通過分析訪問日志可以知道哪些IP訪問了系統(tǒng)資源，操作如圖:名稱主機名1adminH 第步:.點擊${tongweb.hostName}F server${tongweb.hostNarne}r cassen/ertestI服務(wù)配置"WEB容器-n虛擬主機| 第一步：在所有任其中，選擇虛擬主機選項停止虛擬主機名稱adrnin虛擬主機別名|${tongweb.hostName}虛擬主機狀態(tài)https-listener-2通道列表admin-listenerhttp-listener-2http-listener-1日志文件的位置S{tongweti.rriotyirigs/server.log基本屆性訪問日志開關(guān) 暴※案：默認在空踞，如果需要監(jiān)控E訪問日志文件所在目錄 國祥而扁一將日志保存到文件的周期〔單位：秒）可緩存大小〔單位：字節(jié)） 網(wǎng)礦志，必日志格式如圖:''1/,40：：/'況：：赤'。：」此：：血：[：11跖]京二2：:::；：■:"1/.：.：.? /：/：■：.40"?"17/tit)5/dfljorDat/di]iVnl5/di/lDBdiiig.]5mP/l.i"200的「1".：,"'Tm'[0^00^2012:03:40:36-fflDttJ]fGET/tiDs/dfljorDat/dijit/lajnutmCaiitaiDEE.jsffTTP/1.1"2[基線符合性判定依據(jù)1、 判定條件查看logs目錄中相關(guān)日志文件內(nèi)容，記錄完整2、 檢測操作查看localhost_access_log.2012-03-07.log中相關(guān)日志記錄備注第4章備份容錯4.1備份容錯安全基線項目名稱TongWeb備份容錯安全基線要求項安全基線編號SBL-TongWeb-04-01-01安全基線項說明用戶應(yīng)有完善的應(yīng)用服務(wù)器備份機制檢測操作步驟某些操作如修改啟動腳本或者配置文件twsn.xml，操作失誤可能導(dǎo)致啟動異常，需要對TongWeb的配置文件進行日常備份保護，保證應(yīng)用系統(tǒng)的可用性.。如果損壞，必須重新配置應(yīng)用，也需要備份。每周備份一次twns.xml文件，至少每月備份一次TongWeb全目錄，生產(chǎn)環(huán)境配置更改前必須先備份。基線符合性判定依據(jù)任何系統(tǒng)的改變都必須有授權(quán)和紙介質(zhì)保存的修改記錄備注第5章IP協(xié)議安全配置5.1IP通信安全協(xié)議安全基線項

目名稱第5章IP協(xié)議安全配置5.1IP通信安全協(xié)議安全基線項

目名稱安全基線編號安全基線項說明檢測操作步

驟TongWeb通信安全協(xié)議安全基線要求項SBL-TongWeb-05-01-01對于通過HTTP協(xié)議進行遠程維護的設(shè)備，設(shè)備應(yīng)支持使用HTTPS等加密協(xié)議。1、啟動tongweb，并創(chuàng)建https通道，端口為8445（根據(jù)實際情況創(chuàng)建），如圖：服務(wù)配置-nWEB容器-HTTP通道-創(chuàng)建HTTP通道第一芝、，在所有任務(wù)中選擇A基本屆性2、修改tongweb的配置文件twn.xml，如圖所示：iLl=rpai：li[iinpploc::virt.ua1-serverhost.s=pp${tongm已比.host.I'J日rn已}pphttp-1ist-eners=|"iLl=rpai：li[iinpploc<hr.t.p-access-logaccess-log-buffer-size="409b"access-1og-titi：ir.p-int.erva1=rp10"access-locOsosso-en；al：i[已cl=ppfals已""> 第一步：1發(fā)第」mdmin虛主;1機j紅椎匆t::/virt.ua1-aeizw已r> 替換成h11pu捉n鹽-捉”

rdefault-virtuaL-3erver=Server|r叫恥1區(qū)（1=%工如"fafflily=,,inetn，ic3=HtiiLtps-li3tEtiEr-tE3iLHpart=rTB443"tIs-rollfaack-eiiabled=5E-nia-ciirect-bytEbi.3ffer=alse"/> 第二步：掘曲頃赤詢—切w纏苴」替飆血曲間口重新登錄tongweb控制臺，結(jié)果如圖：地址LD）httpe://loc：alhoet:84451'1twriE./twrisMain./mairL.jsf?r 推*合用戶名： 匚基線符合性判定依據(jù)1、判定條件 密碼’「使用https方式登陸TongWeb服務(wù)器頁面，噎陸成功2、 檢測操作使用https方式登陸TongWeb服務(wù)器管理頁面ip：https：//ip:8445/twns備注第6章設(shè)備其他配置操作6.1安全管理6.1.1禁止應(yīng)用程序可顯安全基線項目名稱TongWeb控制臺超時設(shè)置安全基線要求項安全基線編SBL-TongWeb-06-01-01安全基線項說明安全基線項目名稱TongWeb控制臺超時設(shè)置安全基線要求項安全基線編SBL-TongWeb-06-01-01安全基線項說明可以避免訪問應(yīng)用時，暴露應(yīng)用目錄下有哪些文件。檢測操作步為了防止如下圖所示的顯示應(yīng)用目錄的情況的發(fā)生，TongWeb默認為不顯示目錄結(jié)構(gòu)：檢測操作步為了防止如下圖所示的顯示應(yīng)用目錄的情況的發(fā)生，TongWeb默認為不顯示目錄結(jié)構(gòu)：FilenameLastModifiedapplication,*；!Fri,24Feb20120234GUTclient.jwpFri,24Feb20120234GITforw&rd.jsp2khgecpropeg.jsp9kbimages/0.如果希望顯示，可進行如圖操作:5kb8kbFri,24Feb2012application,*；!Fri,24Feb20120234GUTclient.jwpFri,24Feb20120234GITforw&rd.jsp2khgecpropeg.jsp9kbimages/0.如果希望顯示，可進行如圖操作:5kb8kbFri,24Feb201202Fri,24Feb201202Fri,24Feb201202Fri,24Feb201202Fri,24Feb201202Fri,24Feb201202Fri,24Feb20120234GUT34GIT34GUT34GIT34GMT34GIT34GMT|應(yīng)用|應(yīng)用“應(yīng)用管理“Web應(yīng)用第一步：在所有任曾中，選擇應(yīng)用管理中的Webyingyong部署酸解部著e更新o啟動O停止應(yīng)用聲稱廠Icas|*部署酸解部著e更新o啟動O停止應(yīng)用聲稱廠Icas|*F testCAS狀態(tài)第曾野點擊cas部怵true退休狀態(tài)未退休虛擬主機管理虛擬主機管理虛擬主機管理共有2條紀錄博1頁J共1頁應(yīng)用狀態(tài)應(yīng)用退休狀態(tài)應(yīng)用位置true未退休c:/ijijO212A'V/cas附加類路徑所屬類型部署描述符交件 user融阿I洶：說明:不需要重啟tongwebo基線符合性判定依據(jù)1、 判定條件勾選顯示目錄，有詳細應(yīng)用列表。2、 檢測操作按照操作指南顯示操作。備注6.1.2端口設(shè)置*安全基線項目名稱TongWeb默認端口安全基線要求項安全基線編號SBL-TongWeb-06-01-02安全基線項說明更改TongWeb服務(wù)器默認管理控制臺端口和訪問端口檢測操作步驟選擇列表中的虛擬機，進行如圖操作：|,服務(wù)配直-MEB答器“虛擬王機1 1 第一步：在所有任軍中，選擇虛擬機選項c 名稱 主機名admin ${tongweb.hostName)r |sen/er 第二步：點擊serve#{ton3webhostName}F casserver testA 基本屬性啟動 虛擬主機名稱server虛擬主機別名|j{tongweb.hostName}虛擬主機狀態(tài)Phttps-listener-2通道列表 adrnin-listener|http-listener-?日志文件的位置J{tongweb.root}/logs/server.log定制部署到該虛擬主機上的所有web應(yīng)用的錯誤頁面，每個web應(yīng)用都可以在自己的web.xml里覆蓋這個配置，屬性值分為3個部分：code指定錯誤號，path指定錯誤頁的絕對路徑，reason指定錯誤原因。如code=404path=/存放error.jsp文件的目錄/error.jspreason=MY-404-REASON其他 卻是否使用符號鏈接 r請求重定向參數(shù) 「網(wǎng)熒緩存控制參數(shù)安全域名稱 twns-realmv自定義Valve自定義Listener自定義錯誤頁面 ‘ 自宇以頁面重宇向安全域認證通過后不進行網(wǎng)熒緩存r扁k消

基線符合性判定依據(jù)1、 判定條件指向指定錯誤頁面2、 檢測操作URL地址欄中輸入http://ip:8080/manager 備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。6.1.3錯誤頁面處理安全基線項TongWeb錯誤頁面安全基線要求項目名稱女全基線編SBL-TongWeb-06-01-03號安全基線項

說明TongWeb錯誤頁面重定向檢測操作步 選擇列表中的虛擬機，進行如圖操作:驟服務(wù)配直-