WebSphere Web服务器安全配置基线.doc

WebSphere Web 服务器安全配置基线 WebSphereWebSphere WebWeb 服务器安全配置基服务器安全配置基 线线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2009 年 03 月 WebSphere Web 服务器安全配置基线 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 WebSphere Web 服务器安全配置基线 I 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章账号管理 认证授权账号管理 认证授权 2 2 1帐号 2 2 1 1应用程序角色 2 2 1 2控制台帐号安全 2 2 1 3口令管理 3 2 2认证授权 3 2 2 1控制台安全 3 2 2 2全局安全性与Java2安全 4 第第 3 章章日志配置操作日志配置操作 5 3 1日志配置 5 3 1 1日志与记录 5 第第 4 章章备份容错备份容错 5 4 1备份容错 5 第第 5 章章设备其他配置操作设备其他配置操作 7 5 1安全管理 7 5 1 1控制台超时设置 7 5 1 2示例程序删除 7 5 1 3错误页面处理 8 5 1 4文件访问限制 8 5 1 5目录列出访问限制 8 5 1 6控制目录权限 9 5 1 7补丁管理 9 5 1 8变更管理 10 第第 6 章章评审与修订评审与修订 10 WebSphere Web 服务器安全配置基线 第 1 页 共 13 页 第第 1 章章 概述概述 1 1目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 WebSphere Web 服务器应当遵循的安全性设置标准 本文档旨在指导系统管理人员进行 WebSphere Web 服 务器的安全配置 1 2适用范围适用范围 本配置标准的使用者包括 服务器系统管理员 应用管理员 网络安全管理员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 WebSphere Web 服务器系统 1 3适用版本适用版本 6 x 版本的 WebSphere Web 服务器 1 4实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 WebSphere Web 服务器安全配置基线 第 2 页 共 13 页 第第 2 章章 账号管理 认证授权账号管理 认证授权 2 1帐号帐号 2 1 1 应用程序角色应用程序角色 安全基线项安全基线项 目名称目名称 WebSphere 应用程序角色安全基线要求项 安全基线编安全基线编 号号 SBL WebSphere 02 01 01 安全基线项安全基线项 说明说明 要求为应用用户定义合适的角色 检测操作步检测操作步 骤骤 以管理员身份打开管理控制台 执行 1 点击 应用程序 企业应用程序 2 双击要查看的应用程序 3 点击 其它属性 中的 映射安全性角色到用户 组 基线符合性基线符合性 判定依据判定依据 要求安全角色映射到 每个用户 所有已认证用户 已映射的用户 已映射的组 备注备注 2 1 2 控制台帐号安全控制台帐号安全 安全基线项安全基线项 目名称目名称 WebSphere 控制台帐号安全安全基线要求项 安全基线编安全基线编 号号 SBL WebSphere 02 01 02 安全基线项安全基线项 说明说明 特权管理帐号在多个用户间共享 会引发很多安全问题 企业无法控制配置 上的安全 不易定位安全事件责任人 同时特权帐号非法使用者还可抹去审 计信息 检测操作步检测操作步 骤骤 以管理员身份打开管理控制台 执行 1 点击 系统管理 控制台设置 控制台用户 2 点击要查看的用户名 3 查看用户所属组 基线符合性基线符合性 判定依据判定依据 要求不得出现共用特权管理帐号 管理帐号必须按角色分配用户角色为 monitor 监控员 Configurator 配置员 Operator 操作员 Administrator 管理员 之一 WebSphere Web 服务器安全配置基线 第 3 页 共 13 页 备注备注 2 1 3 口令管理口令管理 安全基线项安全基线项 目名称目名称 WebSphere 口令安全基线要求项 安全基线编安全基线编 号号 SBL WebSphere 02 01 03 安全基线项安全基线项 说明说明 不得在自动运行脚本 控制命令等地方出现 Websphere 明文口令 例如 cron 脚本 检测操作步检测操作步 骤骤 以 root 身份执行 ps ef grep i WebSphere su WebSphere username c crontab l crontab l 基线符合性基线符合性 判定依据判定依据 要求回显内容中不含口令字 备注备注 2 2认证授权认证授权 2 2 1 控制台安全控制台安全 安全基线项安全基线项 目名称目名称 WebSphere 控制台安全基线要求项 安全基线编安全基线编 号号 SBL WebSphere 02 02 01 安全基线项安全基线项 说明说明 Cosnaming 服务权限设置过大会引入安全隐患 检测操作步检测操作步 骤骤 以管理员身份打开管理控制台 执行 1 点击 环境 命名 CORBA 命名服务用户 2 查看服务用户 3 点击 环境 命名 CORBA 命名服务组 4 查看服务组授权 基线符合性基线符合性 判定依据判定依据 要求 EVERYONE 组已删除 并且 ALL AUTHENTICATED 组角色仅设为 控制台命名读 备注备注 WebSphere Web 服务器安全配置基线 第 4 页 共 13 页 2 2 2 全局安全性与全局安全性与 Java2 安全安全 安全基线项安全基线项 目名称目名称 WebSphere 全局安全性与 Java2 安全基线要求项 安全基线编安全基线编 号号 SBL WebSphere 02 02 02 安全基线项安全基线项 说明说明 启用全局安全性 控制登录管理控制台 同时应用程序将可以使用 WebSphere 的安全特性 Java 2 安全性在 J2EE 基于角色的授权之上提供访 问控制保护的额外级别 它特别处理系统资源和 API 的保护 不启用 Java2 安全性会极大减弱应用的安全强度 检测操作步检测操作步 骤骤 1 打开管理控制台 2 点击 安全性 全局安全性 查看 启用全局安全性 和 强制 Java 2 安全性 是否启用 基线符合性基线符合性 判定依据判定依据 要求 启用全局安全性 和 强制 Java 2 安全性 启用 备注备注 WebSphere Web 服务器安全配置基线 第 5 页 共 13 页 第第 3 章章 日志日志配置操作配置操作 3 1日志配置日志配置 3 1 1 日志与记录日志与记录 安全基线项安全基线项 目名称目名称 WebSphere 日志记录安全基线要求项 安全基线编安全基线编 号号 SBL WebSphere 03 01 01 安全基线项安全基线项 说明说明 启用日志可以回溯事件进行检查或审计 日志详细信息级别如果配置不当 会缺少必要的审计信息 检测操作步检测操作步 骤骤 以管理员身份打开管理控制台 执行 1 查看设置日志的输出属性 在导航窗格中 单击服务器 应用程序服务器 单击您要使用的服务 器的名称 在 故障诊断 下面 单击日志记录和跟踪 单击要配置的系 统日志 诊断跟踪 静态更改 单击 配置 选项卡 动态更改点击 运行时 选 项卡 2 查看日志设置日志级别 在导航窗格中 单击服务器 应用程序服务器 单击您要使用的服务器的 名称 在 故障诊断 下面 单击日志记录和跟踪 查看日志详细信息级别 基线符合性基线符合性 判定依据判定依据 要求启用所有日志 并配置日志详细信息级别为 info SecurityManager all SystemOut all 备注备注 第第 4 章章 备份容错备份容错 4 1备份容错备份容错 安全基线项安全基线项 目名称目名称 WebSphere 备份容错安全基线要求项 WebSphere Web 服务器安全配置基线 第 6 页 共 13 页 安全基线编安全基线编 号号 SBL WebSphere 04 01 01 安全基线项安全基线项 说明说明 某非法操作或误操作可能导致服务器崩溃 需要对 WebSphere 的配置文件 进行日常备份保护 保证应用系统的可用性 检测操作步检测操作步 骤骤 访谈与实地了解针对 Web 应用的当前备份容错机制 基线符合性基线符合性 判定依据判定依据 要求备份容错机制中针对配置文件 主程序等的备份周期 介质及内容达到 Web 应用需求 备注备注 WebSphere Web 服务器安全配置基线 第 7 页 共 13 页 第第 5 章章 设备其他配置操作设备其他配置操作 5 1安全管理安全管理 5 1 1 控制台超时设置控制台超时设置 安全基线项安全基线项 目名称目名称 WebSphere 控制台超时设置安全基线要求项 安全基线编安全基线编 号号 SBL WebSphere 05 01 01 安全基线项安全基线项 说明说明 控制台会话默认 30 分钟 timeout 要求设置不大于 10 分钟 检测操作步检测操作步 骤骤 1 用文本编辑器打开文件 WAS HOME systemApps adminconsole ear deployment xml 查看 invalidationTimeout 的值 基线符合性基线符合性 判定依据判定依据 invalidationTimeout 的值不得大于 30 备注备注 5 1 2 示例程序删除示例程序删除 安全基线项安全基线项 目名称目名称 WebSphere 示例程序删除安全基线要求项 安全基线编安全基线编 号号 SBL WebSphere 05 01 02 安全基线项安全基线项 说明说明 sample 例子程序会泄露系统敏感信息 存在较大的安全隐患 检测操作步检测操作步 骤骤 以管理员身份打开管理控制台 执行 1 点击 应用程序 企业应用程序 基线符合性基线符合性 判定依据判定依据 不得存在 DefaultApplication PlantsByWebSphere SamplesGallery ivtApp 等例子程序 备注备注 WebSphere Web 服务器安全配置基线 第 8 页 共 13 页 5 1 3 错误页面处理错误页面处理 安全基线项安全基线项 目名称目名称 WebSphere 错误页面安全基线要求项 安全基线编安全基线编 号号 SBL WebSphere 05 01 03 安全基线项安全基线项 说明说明 如果没有定义默认错误网页 则当应用程序出错时会显示内部出错信息 暴 露系统和应用的敏感信息 检测操作步检测操作步 骤骤 以 root 身份执行 grep i defaultErrorPage WAS HOME config cells applications ear war WEB INF ibm web ext xmi 基线符合性基线符合性 判定依据判定依据 要求 defaultErrorPage 设置为定义错误页面 备注备注 5 1 4 文件访问限制文件访问限制 安全基线项安全基线项 目名称目名称 WebSphere 文件访问安全基线要求项 安全基线编安全基线编 号号 SBL WebSphere 05 01 04 安全基线项安全基线项 说明说明 禁止 WebSphere 列表显示文件 检测操作步检测操作步 骤骤 以 root 身份执行 grep i fileServingEnabled WAS HOME config cells applications ear war WEB INF ibm web ext xmi 基线符合性基线符合性 判定依据判定依据 要求 fileServingEnabled false 备注备注 5 1 5 目录列出访问限制目录列出访问限制 安全基线项安全基线项 目名称目名称 WebSphere 目录列出安全基线要求项 WebSphere Web 服务器安全配置基线 第 9 页 共 13 页 安全基线编安全基线编 号号 SBL WebSphere 05 01 05 安全基线项安全基线项 说明说明 禁止 WebSphere 浏览 列表显示目录 检测操作步检测操作步 骤骤 以 root 身份执行 grep i directoryBrowsingEnabled WAS HOME config cells applications ear war WEB INF ibm web ext xmi 基线符合性基线符合性 判定依据判定依据 要求 directoryBrowsingEnabled false 备注备注 5 1 6 控制目录权限控制目录权限 安全基线项安全基线项 目名称目名称 WebSphere 控制目录权限安全基线要求项 安全基线编安全基线编 号号 SBL WebSphere 05 01 06 安全基线项安全基线项 说明说明 config 和 properties 等控制目录权限不当会导致严重后果 检测操作步检测操作步 骤骤 检查 config 与 properties 目录及子目录访问权限 基线符合性基线符合性 判定依据判定依据 要求该目录仅能 root 权限可写 一般目录设置权限 750 备注备注 5 1 7 补丁