系统安全配置技术规范-Websphere.doc

系统安全配置技术规范Websphere版本V0.9日期2013-06-03文档编号文档发布文档说明（一）变更信息版本号变更日期变更者变更理由/变更内容备注（二）文档审核人姓名职位签名日期目 录1.适用范围42.帐号管理与授权42.1【基本】控制台帐号安全42.2【基本】帐号的口令安全42.3【基本】为应用用户定义合适的角色52.4【基本】控制台安全52.5【基本】全局安全性与Java2安全63.日志配置要求63.1【基本】开启应用日志记录64.服务配置要求74.1【基本】禁止列表显示文件74.2【基本】禁止浏览列表显示目录74.3【基本】删除示例程序84.4【基本】控制台超时设置84.5【基本】更新WebSphere补丁84.6【基本】备份容错94.7设置错误页面94.8配置SSL访问94.9控制目录权限115.操作系统配置要求111. 适用范围如无特殊说明，本规范所有配置项适用于IBM WebSphere Application Server (WAS) 6.x,7.x，8.x版本。其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未标示“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。2. 帐号管理与授权122.1 【基本】控制台帐号安全配置项描述配置WebSphere控制台帐号安全，要求按权利需要分配不同用户角色，同时保证权限最小化检查方法以管理员身份打开管理控制台,执行：1. 点击“系统管理”-”控制台设置”-“控制台用户”2. 点击要查看的用户名3. 查看用户所属组操作步骤要求不得出现共用特权管理帐号，管理帐号必须按角色分配用户角色为monitor（监控员）、Configurator(配置员)、Operator（操作员）Administrator(管理员)之回退操作回退到原有的配置设置操作风险低风险2.2 【基本】帐号的口令安全配置项描述配置WebSphere口令安全，要求用户口令至少6位，包括大小写，数字和符号中的至少两种检查方法询问管理员是否存在如下类似的简单用户密码配置，比如：Test、netscreen、admin、root1234操作步骤检查用户口令的设置情况，检查是否存在简单密码。要求密码长度最少为6位，包含大小写字母、数字和特殊符号，密码变更周期。回退操作回退到原有的配置设置操作风险低风险2.3 【基本】为应用用户定义合适的角色配置项描述为应用用户定义合适的角色，根据用户的需求，为用户分配不同的权限检查方法以管理员身份打开管理控制台,执行：1. 点击“应用程序”-”企业应用程序”2. 双击要查看的应用程序3. 点击“其它属性”中的”映射安全性角色到用户/组”操作步骤要求安全角色映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”以管理员身份打开管理控制台,执行：1. 点击“应用程序”-”企业应用程序”2. 双击要查看的应用程序3. 点击“其它属性”中的”映射安全性角色到用户/组”，编辑用户角色回退操作回退到原有的配置设置操作风险需要确认应用程序用户角色2.4 【基本】控制台安全配置项描述设置WebSphere控制台安全，要求EVERYONE组已删除，并且ALL_AUTHENTICATED组角色仅设为”控制台命名读”检查方法以管理员身份打开管理控制台,执行：1. 点击“环境”-命名-CORBA 命名服务用户2. 查看服务用户3. 点击“环境”-命名-CORBA 命名服务组4. 查看服务组授权操作步骤以管理员身份打开管理控制台,执行：1. 点击“环境”-命名-CORBA 命名服务用户2. 编辑服务用户3. 点击“环境”-命名-CORBA 命名服务组4. 编辑服务组授权回退操作回退到原有的配置设置操作风险低风险2.5 【基本】全局安全性与Java2安全配置项描述Java 2安全性在 J2EE 基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和 API 的保护，不启用Java2 安全性会极大减弱应用的安全强度。检查方法1. 打开管理控制台2. 点击“安全性”-”全局安全性”查看“启用全局安全性”和“强制Java 2安全性”是否启用操作步骤1. 打开管理控制台2. 点击“安全性”-”全局安全性”3. 勾选“启用全局安全性”和“强制Java 2安全性” 回退操作回退到原有的配置设置操作风险低风险3. 日志配置要求33.1 【基本】开启应用日志记录配置项描述开启WebSphere日志记录，对设备运行状况、网络流量、用户行为等进行日志记录检查方法以管理员身份打开管理控制台,执行：1. 查看设置日志的输出属性： 在导航窗格中，单击服务器 应用程序服务器-单击您要使用的服务器的名称-在“故障诊断”下面，单击日志记录和跟踪-单击要配置的系统日志（诊断跟踪、静态更改，单击”配置”选项卡,动态更改点击”运行时”选项卡。 2. 查看日志设置日志级别。 在导航窗格中，单击服务器 应用程序服务器-单击您要使用的服务器的名称。 -在“故障诊断”下面，单击日志记录和跟踪,查看日志详细信息级别。操作步骤要求启用所有日志，并配置日志详细信息级别为*=info: SecurityManager=all: SystemOut=all回退操作回退到原有的配置设置操作风险占用一定磁盘空间4. 服务配置要求44.1 【基本】禁止列表显示文件配置项描述WebSphere文件访问，禁止WebSphere列表显示文件检查方法查看fileServingEnabled参数设置文件该文件位于 WAR 文件下的 WEB-INF 扩展中的 ibm-web-ext.xmi 文件中$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmi操作步骤修改fileServingEnabled参数设置为false该文件位于 WAR 文件下的 WEB-INF 扩展中的 ibm-web-ext.xmi 文件中$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmi要求fileServingEnabled=”false”回退操作修改fileServingEnabled参数设置为原有参数该文件位于 WAR 文件下的 WEB-INF 扩展中的 ibm-web-ext.xmi 文件中$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmi要求fileServingEnabled=原有参数操作风险低风险4.2 【基本】禁止浏览列表显示目录配置项描述WebSphere目录列出，禁止WebSphere浏览、列表显示目录检查方法Linux下：以root身份执行：grep i directoryBrowsingEnabled$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmiWindows下：安装路径：AppServerprofilesBBSconfigcellsapplications.ear_war.warWEB-INFibm-web-ext.xmi操作步骤要求directoryBrowsingEnabled=”false”回退操作directoryBrowsingEnabled=原有参数操作风险低风险4.3 【基本】删除示例程序配置项描述WebSphere示例程序删除，防止攻击者利用默认的实例程序，威胁系统安全检查方法以管理员身份打开管理控制台,执行：1. 点击“应用程序”-”企业应用程序”操作步骤删除” DefaultApplication”、 “PlantsByWebSphere “、 “SamplesGallery”、“ivtApp”等例子程序 回退操作无操作风险需确认例子程序是否有用途4.4 【基本】控制台超时设置配置项描述WebSphere控制台超时设置检查方法1.用文本编辑器打开文件$WAS_HOME/systemApps/adminconsole.ear/deployment.xml查看invalidationTimeout的值操作步骤invalidationTimeout的值不得大于10回退操作回退到原有的配置设置操作风险低风险4.5 【基本】更新WebSphere补丁配置项描述及时更新WebSphere补丁，修复系统漏洞，提高系统稳定性 检查方法l Linux下：以root权限执行查看命令(包含补丁安装信息)：$WAS_HOME/bin/versioninfo.sh $WAS_HOME/bin/historyinfo.sh $WAS_HOME/bin/genHistoryReport.sh$WAS_HOME/bin /genVersionReport.shl Windows下：查看文件c:WebSphereAppServerpropertiescomibmwebsphereproduct.xml，确定版本信息操作步骤要求Websphere更新了必要的补丁，要求补丁更新至最新回退操作回退版本操作风险未经测试的补丁可能导致系统不可用4.6 【基本】备份容错配置项描述开启WebSphere备份容错功能检查方法访谈与实地了解针对Web应用的当前备份容错机制操作步骤要求备份容错机制中针对配置文件、主程序等的备份周期，介质及内容达到Web应用需求回退操作回退到原有的配置设置操作风险低风险4.7 设置错误页面配置项描述将WebSphere错误页面指向自定义页面检查方法l Linux下：以root身份执行:grep -i defaultErrorPage$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmil Windows下：安装路径/IBM HTTP Server/conf/httpd.conf，检查500、404、402等错误页面配置操作步骤要求将配置文件中defaultErrorPage=设置为定义错误页面回退操作恢复默认配置操作风险系统通常会限制错误页面大小，超过一定大小的错误页面无法正常显示4.8 配置SSL访问配置项描述配置SSL协议，确保敏感数据的传输安全检查方法l Linux下：netstat an|grep 443l Windows下：netstat -aon|findstr 443查看443端口是否被占用操作步骤创建证书1. 从IBM HTTP Server 6.0打开“密钥管理实用程序”2. 在菜单栏单击 “密钥管理实用程序”点击新建，创建“密钥数据库文件3. 选择CMS类型，文件名wcmkey.kdb，位置选在IBMIHS安装目录的etc目录下，点击确定，出现输入密码界面4. 填好密码、到期时间和密码存储方式后，点击确定，然后点击“创建”菜单，选择“创建自签署证书”5. 填好证书资料后，点击确定，创建自签署证书成功了。下面将证书导出为p12格式的证书文件6. 输入证书密码后，导出证书就成功了，这样客户机访问的时候，直接将证书导入或安装就可以了配置IBMIHS的配置文件httpd.conf添加如下配置代码LoadModule deflate_module modules/mod_deflate.so#AddOutputFilterByType DEFLATE text/html text/plain text/xmlListen 29:80Listen 34:443Alias /webpic F:/trswcm/webpic.ear/webpic.warAlias /pub F:/trswcm/pub.ear/pub.warAlias /template F:/trswcm/template.ear/template.warAddType text/html .htmAddHandler server-parsed .htmAddType text/html .aspAddHandler server-parsed .aspDocumentRoot F:/trswcm/pub.ear/pub.warDirectoryIndex index.html index.html.varDocumentRoot F:/trswcm/pub.ear/pub.warDirectoryIndex index.html index.html.varLoadModule ibm_ssl_module modules/mod_ibm_ssl.so #加载SSL模块SSLEnable #SSL模块生效Keyfile D:/Program Files/IBM HTTP Server/etc/wcmkey.kdb #定义密钥数据库文件路径SSLClientAuth required在Websphere控制台中添加443端口1 打开WebSphere管理控制台，在左侧菜单栏中依次选择：环境虚拟主机2 点击default_host其他属性主机别名新建3 主机名“*”，端口号：443（即HTTPS端口），点击确定，保存主配置更改，重新启动IBMIHS和WebSphere后，即开启SSL服务回退操作恢复默认配置操作风险低风险4.9 控制目录权限配置项描述定义