TongWeb服务器安全配置基线

1、Ton gWeib艮务器安全配置基线中国移动通信有限公司 管理信息系统部2012年 04 月版本版本控制信息|更新日期更新人审批人V2.0创建2012年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目录第 1 章概述 11.1 目的 11.2 适用范围 11.3 适用版本 11.4 实施 11.5 例外条款 1第 2 章账号管理、认证授权 22.1 帐号 22.1.1 应用帐号分配 22.1.2 用户口令设置 32.1.3 用户帐号删除 32.2认证授权 42.2.1 控制台安全 4第 3 章日志配置操作 73.1 日志配置 73.1.1 日志与记录 7

2、第 4 章 备份容错 94.1 备份容错 9第 5 章IP 协议安全配置 105.1 IP 通信安全协议 10第 6 章设备其他配置操作 126.1 安全管理 126.1.1 禁止应用程序可显 126.1.2端口设置 * 136.1.3 错误页面处理 14第 7 章评审与修订 16第 1章 概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 TongWeb 服务器 应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行 TongWeb 服务器的安全配 置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括

3、： 中国移动总部和各省公司信息化部门维护管理的 TongWeb 服务器系统。1.3 适用版本5.x 版本的 TongWeb 服务器。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部， 在本标准的执行过程中若 有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款， 申请人必须准备书面申请文件， 说明业务需求和原因， 送交 中国移动通信有限公司管理信息系统部进行审批备案。第2章账号管理、认证授权2.1 帐号2.1.1应用帐号分配安全基线项目名称TongWeb应用帐号分配安全基线要求安全基线编号SBL-To ngWeb-02-01-01安全基线项

4、说明应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通 信使用的账号共享。检测操作步启动tongweb的控制台，选择列表中的安全域,点击管理用户，如图操作:WWW： Xs円卜c:m :脚:蹴I; aulh r：JI：.Fia mcertiiwlec:m.1ip?.sKUly.aiilhhi.c-ilnHle ?eiiicj：Pahir m闊肚浙加愉删屮.aullr汕耶皿厕m（I：c:m：orpt sKuljj.lh；ahi fk.FiePEam训niMkrc:m 1哪號黑:tj aulh沛剧.File加 m点击新建，建立用户账号，如图操作:阴强垃-法主粥頂全总能丽 _ .用户心

5、Iwns组列壷tongvb服畀配置- 妄全服势亠妥金域宀詈理坤户创建冃户创建取消修改用户直接点击用户名，进行修改，如图:舄务配置亠安卸瞬-伎堂域管理用户a用户ID俎列養FII tDngwebuser I野除rtwnslongweti基线符合性 判定依据1、判定条件各账号都可以登录 TongWeb服务器为正常。2、检测操作访冋http:/ip:8080/twns管理页面，进仃TongWeb服务器配置找安全服务下的安全域即可。备注2.1.2用户口令设置安全基线项目名称安全基线编号安全基线项说明TongWeb用户口令设置安全基线要求项SBL-To ngWeb-02-01-02检测操作步骤对于采用静态

6、口令认证技术的设备，口令长度至少 8位，并包括数字、小写 字母、大写字母和特殊符号四类中至少两类。且 5次以内不得设置相同的口 令。密码应至少每 90天进行更换。进行口令的修改或者添加，如图操作：I服労ati-嗖宜騎法玄0官理甩- 人一a4協：回耕擁砸的帧用户ID|眄碱哺第二步：点击用口IUMH迩I肝玄皿眄皿軒朗表tunb tungweb基线符合性判定依据1、判定条件检查帐号口令是否符合移动通过配置口令复杂度要求。2、检测操作人工检查登录页面测试帐号口令是否符合；备注2.1.3用户帐号删除安全基线项 目名称TongWeb用户帐号删除安全基线要求项安全基线编SBL-To ngWeb-02-01-

7、03号安全基线项说明应用删除或锁定与设备运行、维护等工作无关的账号。检测操作步骤基线符合性判定依据备注删除无关用户，如图操作:聲号:点击EB歸眄+11話捂二出他阳E俪longtionoweb1、判定条件删除的用户ton gwebuser不能通过控制台登录界面进入主页。2、检测操作访问http:/ip:8080/twns管理页面，使用删除帐号进行登陆尝试。2.2认证授权2.2.1控制台安全安全基线项目名称安全基线编号安全基线项说明TongWeb控制台安全基线要求项SBL-To ngWeb-02-02-01限制登陆管理控制台的服务器 ，外网用户访问管理控制台，进行非法操作检测操作步骤登陆管理控制台

8、，“服务配置”服务配置容器*虚拟主机“ WEB容器”“虚拟主机”，如下图:名称Erver主机名Jdongweb.riosiName)Ejtongweb.hastName选择“admin ”，如下图:基线符合性判定依据备注允许访问的远程地址：具体的 IP或正则表达式。本例中为正则表达式：10.110.111.(193-9|20-50-9)，允许93-255 网段的IP访问管理控制台该设置需要重启Ton gWeb才能生效第3章日志配置操作3.1 日志配置3.1.1日志与记录安全基线项目名称安全基线编号安全基线项说明检测操作步骤TongWeb日志记录安全基线要求项SBL- T

9、on gWeb -03-01-01设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的 账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。To ngWeb默认的访问日志是关闭了的， 可以修改虚拟主机打开访问日志， 访问日志中记录了客户端访问的本机IP、访问时间、访问的资源、请求使用的协议以及返回的状态码等内容，若发现有攻击现象可以打开访问日志，通 过分析访问日志可以知道哪些IP访问了系统资源，操作如图：|服勞配直尿器虚拟主训第一步：在所有桂务中，1S挥虚担主机选项a创建名称I admir |4serverca? server主机名第二步:点击血in Wgweb.n

10、ostName塔ttjngwe b. h o$tN am etest删除启动O停止虚拟主机名称虚拟主机别名虚拟主机狀态通道列表htlps-liislener-2admin-listenerhtlp-listener-2 htlp-listener-1Jfton肿曲 rQ（rt）/logs/sen*er.log日志文件时位瓷admin$to ngweb. hotNamern第三母：默U县I ongweb. root jlogc访问日志开关访问日志文件所在目录 将日志保存到文件的周期（:单位：秒而日志格式如图:127.0.0吒血忸血加12；03：删M 4O0CQ盲允虺他輕血他叽愉$ mP/l.L*

11、 0Q 3173in,Q,0J* 时则制书皿山;敬縮 血迎 慌t /ims/dojwocit/dizt/i 1beVlosdiig.j IT出i.l1* ZD0 79 p127.D,0.r t血QMBa旳）12:03:和加 40D0Q GET 允耶他皿就fdijiVkymrt伽如询個弹 0/11 2基线符合性 判定依据1、判定条件查看logs目录中相关日志文件内容，记录完整2、检测操作查看 localhost_access_log.2012-03-07.log 中相关日志记录备注第4章备份容错4.1 备份容错安全基线项 目名称TongWeb备份容错安全基线要求项安全基线编 号SBL- Ton

12、gWeb -04-01-01安全基线项 说明用户应有完善的应用服务器备份机制检测操作步 骤某些操作如修改启动脚本或者配置文件 twsn.xml，操作失误可能导致启 动异常，需要对TongWeb的配置文件进行日常备份保护， 保证应用系统的可 用性。如果损坏，必须重新配置应用，也需要备份。每周备份一次twns.xml文件，至少每月备份一次TongWeb全目录，生产环境配置更改前必须先备份。基线符合性 判定依据任何系统的改变都必须有授权和纸介质保存的修改记录备注第5章IP协议安全配5.1ip通信安全协议安全基线项目名称安全基线编号安全基线项说明TongWeb通信安全协议安全基线要求项SBL- Ton

13、 gWeb -05-01-01对于通过HTTP协议进行远程维护的设备，设备应支持使用 协议。HTTPS等加密检测操作步骤图：W配 It* WEB容器，HTTP4道创律HTTR通道第一歩:在所有任务申地择L丄丄iTSm上+il注Ahttpjfija j点击包建.基不凰性通道名称第二歩:起Ihttplisienectesl通道名称會法通道类壁HTTPS v4第匸步：选择httR协议监听地址监听端口(0445监驭g左第四歩：选挥端 n1、启动tongweb，并创建https通道，端口为8445（根据实际情况创建），如server默认虚拟主机重定向端口是苦漫用阻靈访问代理服务器的URL

14、xpowered-bySelectorReaderThreadi 1的LJ1性证书刖名|tw4 第穴步：必烦塔冨别咅，与证书要一董是否支持SS协议是否支持TL助谏P站口SJL呂 Ciphers1点击傑1?即可是否允许TLS Rollback |7昱沓启用客户端认证厂2、修改tongweb的配置文件twn.xml，如图所示：R -A W WiV! A1fivictuoL-aerver hosts=,rS tonigveb, hostNearelhttp-】i眈亡眦討咋血in-1 已晦id=radJHLii,r lo; http-access-log accesa-log-huffer-siEeM

15、OSfi* access-lowrite-interiral*10 access-kc 第-步:闕询减侧 f 虹flEt-/virtual-se rve r 障視曲hi ips-Lbi e価-t戍d-5f&ult-virbiaL-3Enr=rsErverr eEablEtrue faiEjlTinEt* i护呛讥芦TMtmaem芜part=,BJi43r；-euei 1 e沪匸匸庠11弓-匕uet 1晡=:钊r Is茁口&亦-eiisj 1曰=飞船叩fe- oic - di reel -bytebufei:=false 7鑒善；Jillkilprli 只 en醮遹S 豹it 替骗4ii 曲可*

16、重新登录tongweb控制台，结果如图：ktlpi. /I c-e ilox ttHnx/ tviulAki EL/ni.n. jxE雷赴检制白用户名1I-密码I-登录 取消基线符合性 判定依据1、判定条件使用https方式登陆TongWeb服务器页面，登陆成功2、检测操作使用https方式登陆TongWeb服务器管理页面 ip : https： ip:8445/twns备注第6章设备其他配置操作6.1 安全管理6.1.1禁止应用程序可显安全基线项目名称TongWeb控制台超时设置安全基线要求项安全基线编号SBL-To ngWeb-06-01-01安全基线项说明可以避免访问应用时，暴露应用目录

17、下有哪些文件。检测操作步为了防止如下图所示的显示应用目录的情况的发生, 显示目录结构：H ienameSzepgJxcLMi-jjrT打乂 吐TongWeb默认为不Last ModirfiedV丄“-:叩taca.jrpIscncH. jrp:incud. japhbcuJb L. af.24 rnb :D32 Ca=27=：-1 E -r 24 Fab ZD 11 C:2.7=l-I dT sr 24 Fab ZQ11 便苗E GTT-r 24 Fab ZD 11 C:2.7=l-I dT ar 24 Fab ZQ11 E:Z.7=1-I GIT-r 24 Fib ZQ1Z 4i：z.7：-

18、l GTT ar 24 Fab ZQ11 E:Z.7=1-I GIT jP 2i Tab ZDU !X:2.7=3-I NT.24 Fata ZD32 01:27=2-1 OT应用-，应用晉理如果希望显示，可进行如图操作:-讥b应用|弟_甘:祖彌J任豁中，醉胆用詐中财血mprmc应用名祢状态遍休状离虚扭主机管理r 囲+第:鳩点击u譎輕休盅脏机管遲r lestCASItue耒遥休虚楓主机管理曲有徐擬廉1页哄1页反用風性应用名秣cas应用前绩 应用目班否可显匚| A 第三古：应用目录夥可崔默认乘4|1应用储true应用進件牡塞未遊休叵用位罢c /uU0212/w/cas斯眞裘型user却罷橢迖冊文

19、件 丿口若 Hr?砧说明：不需要重启tongweb。基线符合性 判定依据1、判定条件勾选显示目录，有详细应用列表。2、检测操作按照操作指南显示操作。备注6.1.2端口设置*安全基线项目名称安全基线编号安全基线项说明检测操作步骤TongWeb默认端口安全基线要求项SBL-To ngWeb-06-01-02更改TongWeb服务器默认管理控制台端口和访问端口选择列表中的虚拟机，进行如图操作：名称主机名admin$Eng晒ti hoslNama厂I server在步：点击论壽血叩醮时闊附mercassewrie?t虚拟主执剔名 S(tangweb.ha5tName是否虢用荷号離 谓求重定向颔定制部署

20、到该虚拟主机上的所有 web应用的错误页面，每个 web应用都 可以在自己的 web.xml里覆盖这个配置，属性值分为 3个部分：code指定错 误号，path指定错误页的绝对路径， reason指定错误原因。女口 code=404 path=/ 存放 error.jsp 文件的目录 /error.jsp reason=MY-404-REASON。网瓦爰弃控制参敷安全色名隸自定义Wive自定兴曲旳审 口定义構逞丽 竝壤认证诵过丘不进讦网瓦鄭厂基线符合性 判定依据1、判定条件指向指定错误页面2、检测操作URL 地址栏中输入 http:/ip:8080/manager备注根据应用场景的不冋，如部署场景需开启此功能，则强制要求此项。6.1.3错误页面处理安全基线项目名称安全基