1、系统安全配置技术规范Websphere版本 V0.9日期 2013-06-03文档编号文档发布2文档说明(一)变更信息版本号 变更日期 变更者 变更理由/变更内容 备注(二)文档审核人姓名 职位 签名 日期3目 录1. 适用范围 42. 帐号管理与授权 42.1 【基本】控制台帐号安全 42.2 【基本】帐号的口令安全 42.3 【基本】为应用用户定义合适的角色 52.4 【基本】控制台安全 52.5 【基本】全局安全性与 JAVA2 安全 .63. 日志配置要求 63.1 【基本】开启应用日志记录 64. 服务配置要求 74.1 【基本】禁止列表显示文件 74.2 【基本】禁止浏览列表显示目
2、录 74.3 【基本】删除示例程序 84.4 【基本】控制台超时设置 84.5 【基本】更新 WEBSPHERE 补丁 .84.6 【基本】备份容错 94.7 设置错误页面 .94.8 配置 SSL 访问 94.9 控制目录权限 .115. 操作系统配置要求 1141. 适用范围如无特殊说明,本规范所有配置项适用于 IBM WebSphere Application Server (WAS) 6.x,7.x,8.x 版本。其中标示为“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;未标示“ 基本” 字样的配置项,请各系统管理员视实际需求酌情遵从。2. 帐号管理与授权【基本】控制台帐
3、号安全配置项描述 配置 WebSphere 控制台帐号安全,要求按权利需要分配不同用户角色,同时保证权限最小化检查方法以管理员身份打开管理控制台,执行:1. 点击“系统管理”控制台设置”“ 控制台用户”2. 点击要查看的用户名3. 查看用户所属组操作步骤要求不得出现共用特权管理帐号,管理帐号必须按角色分配用户角色为monitor(监控员) 、Configurator(配置员)、Operator (操作员)Administrator(管理员)之回退操作 回退到原有的配置设置操作风险 低风险2.2 【基本】帐号的口令安全配置项描述 配置 WebSphere 口令安全,要求用户口令至少 6 位,包括
4、大小写,数字和符号中的至少两种检查方法 询问管理员是否存在如下类似的简单用户密码配置,比如:Test、netscreen、admin 、root1234操作步骤 检查用户口令的设置情况,检查是否存在简单密码。要求密码长度最少为6 位,包含大小写字母、数字和特殊符号,密码变更周期。回退操作 回退到原有的配置设置5操作风险 低风险2.3 【基本】为应用用户定义合适的角色配置项描述 为应用用户定义合适的角色,根据用户的需求,为用户分配不同的权限检查方法以管理员身份打开管理控制台,执行:1. 点击“应用程序”企业应用程序”2. 双击要查看的应用程序3. 点击“其它属性” 中的” 映射安全性角色到用户
5、/组”操作步骤要求安全角色映射到“每个用户“、 “所有已认证用户”、 “已映射的用户”、 “已映射的组”以管理员身份打开管理控制台,执行:1. 点击“应用程序”企业应用程序”2. 双击要查看的应用程序3. 点击“其它属性” 中的” 映射安全性角色到用户 /组”,编辑用户角色回退操作 回退到原有的配置设置操作风险 需要确认应用程序用户角色2.4 【基本】控制台安全配置项描述 设置 WebSphere 控制台安全,要求 EVERYONE 组已删除,并且ALL_AUTHENTICATED 组角色仅设为”控制台命名读”检查方法以管理员身份打开管理控制台,执行:1. 点击“环境”命名CORBA 命名服务
6、用户2. 查看服务用户3. 点击“环境”命名CORBA 命名服务组4. 查看服务组授权操作步骤以管理员身份打开管理控制台,执行:1. 点击“环境”命名CORBA 命名服务用户2. 编辑服务用户3. 点击“环境”命名CORBA 命名服务组4. 编辑服务组授权回退操作 回退到原有的配置设置操作风险 低风险62.5 【基本】全局安全性与 Java2 安全配置项描述Java 2 安全性在 J2EE 基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和 API 的保护,不启用 Java2 安全性会极大减弱应用的安全强度。检查方法1. 打开管理控制台2. 点击“安全性”全局安全性”查看“启用
7、全局安全性” 和“ 强制 Java 2 安全性”是否启用操作步骤1. 打开管理控制台2. 点击“安全性”全局安全性”3. 勾选“启用全局安全性” 和“ 强制 Java 2 安全性” 回退操作 回退到原有的配置设置操作风险 低风险3. 日志配置要求【基本】开启应用日志记录配置项描述 开启 WebSphere 日志记录,对设备运行状况、网络流量、用户行为等进行日志记录检查方法以管理员身份打开管理控制台,执行:1. 查看设置日志的输出属性: 在导航窗格中,单击服务器 应用程序服务器单击您要使用的服务器的名称在“ 故障诊断”下面,单击日志记录和跟踪单击要配置的系统日志(诊断跟踪、静态更改,单击”配置”
8、选项卡,动态更改点击”运行时”选项卡。 2. 查看日志设置日志级别。 在导航窗格中,单击服务器 应用程序服务器单击您要使用的服务器的名称。 在“故障诊断”下面,单击日志记录和跟踪,查看日志详细信息级别。操作步骤 要求启用所有日志,并配置日志详细信息级别为*=info: SecurityManager=all: SystemOut=all回退操作 回退到原有的配置设置操作风险 占用一定磁盘空间74. 服务配置要求【基本】禁止列表显示文件配置项描述 WebSphere 文件访问,禁止 WebSphere 列表显示文件检查方法查看 fileServingEnabled 参数设置文件该文件位于 WAR
9、 文件下的 WEB-INF 扩展中的 ibm-web-ext.xmi 文件中$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmi操作步骤修改 fileServingEnabled 参数设置为 false该文件位于 WAR 文件下的 WEB-INF 扩展中的 ibm-web-ext.xmi 文件中$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmi要求 fileServingEnabled=”false”回退操作修改 file
10、ServingEnabled 参数设置为原有参数该文件位于 WAR 文件下的 WEB-INF 扩展中的 ibm-web-ext.xmi 文件中$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmi要求 fileServingEnabled=原有参数操作风险 低风险4.2 【基本】禁止浏览列表显示目录配置项描述 WebSphere 目录列出,禁止 WebSphere 浏览、列表显示目录检查方法Linux 下:以 root 身份执行:grep i directoryBrowsingEnabled$WAS_HOME/
11、config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmiWindows 下:安装路径:AppServerprofilesBBSconfigcellsapplications.ear_war.warWEB-INFibm-web-ext.xmi操作步骤 要求 directoryBrowsingEnabled=”false”回退操作 directoryBrowsingEnabled=原有参数操作风险 低风险84.3 【基本】删除示例程序配置项描述 WebSphere 示例程序删除,防止攻击者利用默认的实例程序,威胁系统安全检查方法 以管理
12、员身份打开管理控制台,执行:1. 点击“应用程序”企业应用程序”操作步骤 删除” DefaultApplication”、 “PlantsByWebSphere “、 “SamplesGallery”、“ivtApp”等例子程序 回退操作 无操作风险 需确认例子程序是否有用途4.4 【基本】控制台超时设置配置项描述 WebSphere 控制台超时设置检查方法1.用文本编辑器打开文件$WAS_HOME/systemApps/adminconsole.ear/deployment.xml查看 invalidationTimeout 的值操作步骤 invalidationTimeout 的值不得大于
13、 10回退操作 回退到原有的配置设置操作风险 低风险4.5 【基本】更新 WebSphere 补丁配置项描述 及时更新 WebSphere 补丁,修复系统漏洞,提高系统稳定性 检查方法 Linux 下:以 root 权限执行查看命令(包含补丁安装信息 ):$WAS_HOME/bin/versioninfo.sh $WAS_HOME/bin/historyinfo.sh $WAS_HOME/bin/genHistoryReport.sh$WAS_HOME/bin /genVersionReport.sh Windows 下:查看文件c:WebSphereAppServerpropertiesco
14、mibmwebsphereproduct.xml,确定版本信息操作步骤 要求 Websphere 更新了必要的补丁,要求补丁更新至最新回退操作 回退版本操作风险 未经测试的补丁可能导致系统不可用94.6 【基本】备份容错配置项描述 开启 WebSphere 备份容错功能检查方法 访谈与实地了解针对 Web 应用的当前备份容错机制操作步骤 要求备份容错机制中针对配置文件、主程序等的备份周期,介质及内容达到 Web 应用需求回退操作 回退到原有的配置设置操作风险 低风险4.7 设置错误页面配置项描述 将 WebSphere 错误页面指向自定义页面检查方法 Linux 下:以 root 身份执行:g
15、rep -i defaultErrorPage$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmi Windows 下:安装路径/IBM HTTP Server/conf/httpd.conf,检查 500、404、402 等错误页面配置操作步骤 要求将配置文件中 defaultErrorPage=设置为定义错误页面回退操作 恢复默认配置操作风险 系统通常会限制错误页面大小,超过一定大小的错误页面无法正常显示4.8 配置 SSL 访问配置项描述 配置 SSL 协议,确保敏感数据的传输安全检查方法 Linux
16、下:netstat an|grep 443 Windows 下:netstat -aon|findstr “443“查看 443 端口是否被占用操作步骤创建证书1. 从 IBM HTTP Server 6.0 打开“ 密钥管理实用程序”2. 在菜单栏单击 “密钥管理实用程序”点击新建,创建“密钥数据库文件3. 选择 CMS 类型,文件名 wcmkey.kdb,位置选在 IBMIHS 安装目录的10etc 目录下,点击确定,出现输入密码界面4. 填好密码、到期时间和密码存储方式后,点击确定,然后点击“创建”菜单,选择“创建自签署证书”5. 填好证书资料后,点击确定,创建自签署证书成功了。下面将证
17、书导出为 p12 格式的证书文件6. 输入证书密码后,导出证书就成功了,这样客户机访问的时候,直接将证书导入或安装就可以了配置 IBMIHS 的配置文件 httpd.conf添加如下配置代码LoadModule deflate_module modules/mod_deflate.so#AddOutputFilterByType DEFLATE text/html text/plain text/xmlListen 218.73.64.129:80Listen 218.73.64.134:443Alias /webpic “F:/trswcm/webpic.ear/webpic.war“Ali
18、as /pub “F:/trswcm/pub.ear/pub.war“Alias /template “F:/trswcm/template.ear/template.war“AddType text/html .htmAddHandler server-parsed .htmAddType text/html .aspAddHandler server-parsed .aspDocumentRoot “F:/trswcm/pub.ear/pub.war“DirectoryIndex index.html index.html.varDocumentRoot “F:/trswcm/pub.ea
19、r/pub.war“DirectoryIndex index.html index.html.varLoadModule ibm_ssl_module modules/mod_ibm_ssl.so #加载 SSL 模块SSLEnable #SSL 模块生效Keyfile “D:/Program Files/IBM HTTP Server/etc/wcmkey.kdb“ #定义密钥数据库文件路径SSLClientAuth required在 Websphere 控制台中添加 443 端口1 打开 WebSphere 管理控制台,在左侧菜单栏中依次选择:环境 虚拟主机2 点击 default_ho
20、st其他属性主机别名新建3 主机名“*”,端口号:443(即 HTTPS 端口) ,点击确定,保存主配置更改,重新启动 IBMIHS 和 WebSphere 后,即开启 SSL 服务回退操作 恢复默认配置操作风险 低风险114.9 控制目录权限配置项描述 定义控制目录权限,保证管理员拥有对目录的完全控制权检查方法 检查 config 与 properties 目录及子目录访问权限操作步骤 Linux 下要求该目录仅能 root 权限可写,一般目录设置权限 750 Windows 下:右键文件夹,属性-安全-编辑,修改各用户权限,仅保证管理员账户拥有读写权限,其他无关用户,根据需求分配相关权限回退操作 恢复目录访问权限的默认配置操作风险 config 和 properties 等控制目录权限不当会导致严重后果5. 操作系统配置要求操作系统的服务配置应符合操作系统配置规范,详细配置请参照系统安全配置技术规范-Windows 或系统安全配置技术规范-Linux执行。
