JBOSS服务器安全配置基线

JBOSS 服务器安全配置基线 JBOSSJBOSS 服务器安全配置基线服务器安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 04 月 JBOSS 服务器安全配置基线 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V2.0创建2012 年 4 月 备注：备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 JBOSS 服务器安全配置基线 I 目目 录录 第第 1 章章概述概述.1 1.1目的.1 1.2适用范围.1 1.3适用版本.1 1.4实施.1 1.5例外条款.1 第第 2 章章帐号管理、认证授权帐号管理、认证授权.2 2.1帐号.2 2.1.1jmx-console 登录的用户名和密码管理.2 2.1.2web-console 登录的用户名和密码管理.3 2.2口令.4 2.2.1密码复杂度.4 2.2.2密码生存期*.5 2.3授权.5 2.3.1用户权利指派*.5 第第 3 章章日志配置操作日志配置操作.7 3.1日志配置.7 3.1.1审核登录.7 第第 4 章章IP 协议安全配置协议安全配置 .8 4.1IP 协议.8 4.1.1支持加密协议.8 第第 5 章章设备其他配置操作设备其他配置操作.10 5.1安全管理.10 5.1.1定时登出.10 5.1.2更改默认端口*.10 5.1.3错误页面处理.11 5.1.4目录列表访问限制.12 第第 6 章章评审与修订评审与修订.13 JBOSS 服务器安全配置基线 中国移动通信有限公司第 1 页 共 16 页 第第 1 章章概述概述 1.1目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 Jboss 服务器应 当遵循的安全性设置标准，本文档旨在指导系统管理人员进行 Jboss 服务器的安全配置。 1.2适用范围适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的 Jboss 服 务器系统。 1.3适用版本适用版本 4.x 版本的 Jboss 服务器。 1.4实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中 若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5例外条款例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送 交中国移动通信有限公司管理信息系统部进行审批备案。 JBOSS 服务器安全配置基线 中国移动通信有限公司第 2 页 共 16 页 第第 2 章章帐号管理、认证授权帐号管理、认证授权 2.1帐号帐号 2.1.1 jmx-console 登录的用户名和密码管理登录的用户名和密码管理 安全基线项安全基线项 目名称目名称 jmx-console 登录的用户名和密码管理 安全基线编安全基线编 号号 SBL-Jboss-02-01-01 安全基线项安全基线项 说明说明 默认情况访问 http:/ip:port/jmx-console 需要输入用户名和密码。设置用户名 密码限制帐号,提高安全性。 检测操作步检测操作步 骤骤 1、参考配置操作、参考配置操作 （1）修改 Jboss 目录下 $jboss/server/$server/deploy/jmx-console.war/WEB-INF/jboss-web.xml，去 掉 节点的注释 修改 jboss-web.xml 同级目录下的 web.xml 文件，去掉节 点的注释，在这里可以看到为登录配置了角色 JBossAdmin （2）jmx-console 的安全域和运行角色 JBossAdmin 都是在 login-config.xml 中配置，在 Jboss 的安装目录$jboss/server/$server/config 下找到。在 login-config.xml 中查找 jmx-console 的 application-policy 可以看到登录的角 色、用户等信息分别在$jboss/server/$server/config/props 的 perties 和 perties 文件中配置 2、补充操作说明、补充操作说明 （1） perties 文件中定义了一个用户名为 admin，的 用户。 （2）perties 文件中默认为 admin 用户，定义了 JBossAdmin 和 HttpInvoker 这两个角色。 基线符合性基线符合性 判定依据判定依据 1、检测操作、检测操作 登陆 http:/ip:port/jmx-console 不能正常访问 JBOSS 服务器安全配置基线 中国移动通信有限公司第 3 页 共 16 页 2、补充操作判定条件、补充操作判定条件 输入 perties 文件中定义的用户名和密码登陆正常 备注备注 2.1.2 web-console 登录的用户名和密码管理登录的用户名和密码管理 安全基线项安全基线项 目名称目名称 web-console 登录的用户名和密码管理安全基线要求项 安全基线编安全基线编 号号 SBL-Jboss-02-01-02 安全基线项安全基线项 说明说明 不需要输入用户名和密码存在安全隐患。设置用户名密码限制帐号。 检测操作步检测操作步 骤骤 1、参考配置操作、参考配置操作 修改 Jboss 目录下 $jboss/server/$server/deploy/management/console-mgr.sar/web- console.war/WEB-INF 下 jboss-web.xml 文件，去掉节点的 注释。 修改中 jboss-web.xml 同目录下的 web.xml 文件，去掉节 点的部分注释进行修改，修改的内容如下： 修改 server/default/conf 下的 login-config.xml 文件 2、补充操作说明、补充操作说明 1、perties 文件中默认定义了一个用户名为 admin，密 码也为 admin 的用户。 2、perties 文件中默认为 admin 用户定义了 JBossAdmin 和 HttpInvoker 这两个角色。 基线符合性基线符合性 判定依据判定依据 1、检测操作、检测操作 登陆 http:/ip:port/web-console/ 不能访问页面 2、补充操作判定条件、补充操作判定条件 输入 perties 文件中定义的用户名和密码登陆正常 备注备注 JBOSS 服务器安全配置基线 中国移动通信有限公司第 4 页 共 16 页 2.2口令口令 2.2.1 密码复杂度密码复杂度 安全基线项安全基线项 目名称目名称 Jboss 密码复杂度安全基线要求项 安全基线编安全基线编 号号 SBL-Jboss-02-02-01 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备，口令长度至少 8 位，并包括数字、小 写字母、大写字母和特殊符号四类中至少两类。且 5 次次以内不得设置相同的 口令。密码应至少每 90 天天进行更换。 检测操作步检测操作步 骤骤 1、参考配置操作、参考配置操作 1. 在$jboss/server/$server/deploy/oracle-ds.xml 配置文件中设置 oracle 密 码机密 EncryptDBPassword 2. 在$jboss/server/$server/conf/login-config.xml 配置文件中设置 JNDI 加 密 -testDataSource 是连接池的名 称 apps - 用户名 3fb2b2b29f74131a -加密后的密码 jboss.jca:service=LocalTxCM,name=testDataSource JBOSS 服务器安全配置基线 中国移动通信有限公司第 5 页 共 16 页 2、补充操作说明、补充操作说明 口令要求：长度至少 8 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。 基线符合性基线符合性 判定依据判定依据 1、判定条件、判定条件 检查$jboss/server/$server/conf/login-config.xml 配置文件中的帐号口令是 否符合移动通过配置口令复杂度要求。 2、检测操作、检测操作 （1）人工检查配置文件中帐号口令是否符合； 备注备注 2.2.2 密码生存期密码生存期* 安全基线项安全基线项 目名称目名称 Jboss 密码生存期安全基线要求项 安全基线编安全基线编 号号 SBL-Jboss-02-02-02 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备，应支持按天配置口令生存期功能，帐号 口令的生存期不长于 90 天。 检测操作步检测操作步 骤骤 1、参考配置操作、参考配置操作 定期对管理 Jbosss Web、JMX 服务器的帐号口令进行修改，间隔不长于 90 天。 基线符合性基线符合性 判定依据判定依据 1、判定条件、判定条件 90 天后使用原帐号口令进行登陆尝试，登录不成功； 2、检测操作、检测操作 使用超过 90 天的帐号口令进行登录尝试； 备注备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。适用于 4.x、5.x、6.x 所有版本。 2.3授权授权 2.3.1 用户权利指派用户权利指派* 安全基线项安全基线项 目名称目名称 Jboss 用户权利指派安全基线要求项 安全基线编安全基线编 号号 SBL-Jboss-02-03-01 JBOSS 服务器安全配置基线 中国移动通信有限公司第 6 页 共 16 页 安全基线项安全基线项 说明说明 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 检测操作步检测操作步 骤骤 1、参考配置操作、参考配置操作 编辑/server/default/config/login-config.xml配置文件，修改用户角色权限 props/jmx-console- perties props/jmx-console- perties 2、补充操作说明、补充操作说明 jmx-console 角色浏览 jboss 的部署管理信息。 Web-console 角色进行监控 基线符合性基线符合性 判定依据判定依据 1、判定条件、判定条件 输入 perties 文件中定义的用户名和密码登陆正常 输入 perties 文件中定义的用户名和密码登陆正常 2、检测操作、检测操作 登陆 http:/ip:port/web-console/ 访问页面正常 登陆 http:/ip:port/jmx-console/ 访问页面正常 备注备注 JBOSS 服务器安全配置基线 中国移动通信有限公司第 7 页 共 16 页 第第 3 章章日志日志配置操作配置操作 3.1日志配置日志配置 3.1.1 审核登录审核登录 安全基线项安全基线项 目名称目名称 Jboss 审核登录安全基线要求项 安全基线编安全基线编 号号 SBL-Jboss-03-01-01 安全基线项安全基线项 说明说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的 帐号，登录是否成功，登录时间，使用的 IP 地址。 检测操作步检测操作步 骤骤 1、参考配置操作、参考配置操作 编辑$jboss/server/$server/conf/ log4j.xml 配置文件， 2、补充操作说明、补充操作说明 Threshold 是个全局的过滤器，它将把低于所设置的 level 的信息过滤不显示 出来 优先级由高到低分为 OFF ,FATAL ,ERROR ,WARN ,INFO ,DEBUG ,ALL 参数都以%开始后面不同的参数代表不同的格式化信息（参数按字母表顺序 列出）： %c 输出所属类的全名，可在修改为 %dNum ,Num 类名输出的围 % 输出日志时间其格式为 %dyyyy-MM-dd HH:mm:ss,SSS，可指定格式 如 %dHH:mm:ss %l 输出日志事件发生位置，包括类目名、发生线程，在代码中的行数 % 换行符 %m 输出代码指定信息，如 info(“message”),输出 message JBOSS 服务器安全配置基线 中国移动通信有限公司第 8 页 共 16 页 %p 输出优先级，即 FATAL ,ERROR 等 %r 输出从启动到显示该 log 信息所耗费的毫秒数 %t 输出产生该日志事件的线程名 基线符合性基线符合性 判定依据判定依据 1、判定条件、判定条件 查看 logs 目录中相关日志文件内容，记录完整 2、检测操作、检测操作 查看 server.log 中相关日志记录 3、补充说明、补充说明 备注备注 第第 4 章章IPIP 协议安全协议安全配置配置 4.1IP 协议协议 4.1.1 支持加密协议支持加密协议 安全基线项安全基线项 目名称目名称 Jboss 支持加密协议安全基线要求项 安全基线编安全基线编 号号 SBL-Jboss-04-01-01 安全基线项安全基线项 说明说明 对于通过 HTTP 协议进行远程维护的设备，设备应支持使用 HTTPS 等加密 协议。 检测操作步检测操作步 骤骤 1、参考配置操作、参考配置操作 (1)使用 JDK 自带的 keytool 工具生成一个证书 JAVA_HOME/bin/keytool -genkey alias tomcat keyalg RSA -keystore /path/to/my/keystore (2)修改$jboss/server/$server/deploy/jbossweb-tomcat55.sar/conf/server.xml 配置文件，更改为使用 https 方式，增加如下行： Connector classname=”org.apache.catalina.http.HttpConnector” port=”8443” minProcessors=”5” maxprocessors=”100” enableLookups=”true” acceptCount=”10” debug=”0” scheme=”https” secure=”true” Factory classname=”org.apache.catalina.SSLServerSocketFactory” clientAuth=”false” keystoreFile=”/path/to/my/keystore” keystorePass=”runway” protocol=”TLS”/ /Connector 其中 keystorePass 的值为生成 keystore 时输入的密码 (3)重新启动 Jboss 服务 JBOSS 服务器安全配置基线 中国移动通信有限公司第 9 页 共 16 页 基线符合性基线符合性 判定依据判定依据 1、判定条件、判定条件 使用 https 方式登陆 Jboss 服务器页面，登陆成功 2、检测操作、检测操作 使用 https 方式登陆 Jboss 服务器管理页面 备注备注 JBOSS 服务器安全配置基线 中国移动通信有限公司第 10 页 共 16 页 第第 5 章章设备其他配置操作设备其他配置操作 5.1安全管理安全管理 5.1.1 定时登出定时登出 安全基线项安全基线项 目名称目名称 Jboss 定时登出安全基线要求项 安全基线编安全基线编 号号 SBL-Jboss-05-01-01 安全基线项安全基线项 说明说明 对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再 次登录才能进入系统。 检测操作步检测操作步 骤骤 1、参考配置操作、参考配置操作 编辑$jboss/server/$server/deploy/jbossweb-tomat55.sar/server.xml 配置文 件，修改为 2000 秒 基线符合性基线符合性 判定依据判定依据 1、判定条件、判定条件 30 分自动登出。 2、检测操作、检测操作 登陆 jboss 默认页面 ，使用管理帐号登陆 3、补充说明、补充说明 备注备注 5.1.2 更改默认端口更改默认端口* 安全基线项安全基线项 目名称目名称 Jboss 运行端口安全基线要求项 安全基线编安全基线编 号号 SBL-Jboss-05-01-02 安全基线项安全基线项更改 tomcat 服务器默认端口 JBOSS 服务器安全配置基线 中国移动通信有限公司第 11 页 共 16 页 说明说明 检测操作步检测操作步 骤骤 1、参考配置操作、参考配置操作 （1）修改$jboss/server/$server/deploy/jbossweb-tomat55.sar/server.xml 配 置文件，更改默认管理端口到 8100 （2）重启 JBOSS 服务 2、补充操作说明、补充操作说明 Jboss 默认端口是 8080,通常占用的端口是 1098，1099，4444，4445，8080，8009，8083，8093 在 windows 系统中： 1098、1099、4444、4445、8083 端口在 /server/ehr_jsprd /conf/jboss-service.xml 中 8080 端口在/server/ ehr_jsprd /deploy/jboss-web.deployer/server.xml 中 8093 端口在/server/ ehr_jsprd /deploy/jms/uil2-service.xml 中。 基线符合性基线符合性 判定依据判定