JBOSS服务器安全配置基线Word格式.docx
- 文档编号:19454084
- 上传时间:2023-01-06
- 格式:DOCX
- 页数:17
- 大小:20.73KB
JBOSS服务器安全配置基线Word格式.docx
《JBOSS服务器安全配置基线Word格式.docx》由会员分享,可在线阅读,更多相关《JBOSS服务器安全配置基线Word格式.docx(17页珍藏版)》请在冰豆网上搜索。
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
2.9例外条款
2.10
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第3章帐号管理、认证授权
第4章
4.1帐号
4.2
4.2.1jmx-console登录的用户名和密码管理
安全基线项目名称
jmx-console登录的用户名和密码管理
安全基线编号
SBL-Jboss-02-01-01
安全基线项说明
默认情况访问http:
//ip:
port/jmx-console需要输入用户名和密码。
设置用户名密码限制帐号,提高安全性。
检测操作步骤
1、参考配置操作
(1)修改Jboss目录下
${jboss}/server/${server}/deploy/jmx-console.war/WEB-INF/jboss-web.xml,去掉
<
security-domain>
节点的注释
修改jboss-web.xml同级目录下的web.xml文件,去掉<
security-constraint>
节点的注释,在这里可以看到为登录配置了角色JBossAdmin
(2)jmx-console的安全域和运行角色JBossAdmin都是在login-config.xml中配置,在Jboss的安装目录${jboss}/server/${server}/config下找到。
在login-config.xml中查找jmx-console的application-policy可以看到登录的角色、用户等信息分别在${jboss}/server/${server}/config/props的
jmx-console-roles.properties和jmx-console-users.properties文件中配置
2、补充操作说明
(1)jmx-console-users.properties文件中定义了一个用户名为admin,的用户。
(2)jmx-console-roles.properties文件中默认为admin用户,定义了JBossAdmin和HttpInvoker这两个角色。
基线符合性判定依据
1、检测操作
登陆http:
port/jmx-console不能正常访问
2、补充操作判定条件
输入jmx-console-users.properties文件中定义的用户名和密码登陆正常
备注
web-console登录的用户名和密码管理
web-console登录的用户名和密码管理安全基线要求项
SBL-Jboss-02-01-02
不需要输入用户名和密码存在安全隐患。
设置用户名密码限制帐号。
修改Jboss目录下
${jboss}/server/${server}/deploy/management/console-mgr.sar/web-console.war/WEB-INF下jboss-web.xml文件,去掉<
节点的注释。
修改中jboss-web.xml同目录下的web.xml文件,去掉<
节点的部分注释进行修改,修改的内容如下:
修改server/default/conf下的login-config.xml文件
1、web-console-users.properties文件中默认定义了一个用户名为admin,密码也为admin的用户。
2、web-console-roles.properties文件中默认为admin用户定义了JBossAdmin和HttpInvoker这两个角色。
登陆http:
port/web-console/不能访问页面
输入web-console-users.properties文件中定义的用户名和密码登陆正常
4.3口令
4.4
密码复杂度
Jboss密码复杂度安全基线要求项
SBL-Jboss-02-02-01
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
1.在${jboss}/server/${server}/deploy/oracle-ds.xml配置文件中设置oracle密码机密
EncryptDBPassword<
/security-domain>
2.在${jboss}/server/${server}/conf/login-config.xml配置文件中设置JNDI加密
application-policyname="
testDataSource"
>
--testDataSource是连接池的名称
<
authentication>
login-modulecode="
org.jboss.resource.security.SecureIdentityLoginModule"
flag="
required"
module-optionname=“username”>
apps<
/module-option>
--用户名
module-optionname="
password"
3fb2b2b29f74131a<
--加密后的密码
managedConnectionFactoryName"
jboss.jca:
service=LocalTxCM,name=testDataSource
/login-module>
/authentication>
/application-policy>
口令要求:
长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
1、判定条件
检查${jboss}/server/${server}/conf/login-config.xml配置文件中的帐号口令是否符合移动通过配置口令复杂度要求。
2、检测操作
(1)人工检查配置文件中帐号口令是否符合;
密码生存期*
Jboss密码生存期安全基线要求项
SBL-Jboss-02-02-02
对于采用静态口令认证技术的设备,应支持按天配置口令生存期功能,帐号口令的生存期不长于90天。
定期对管理JbosssWeb、JMX服务器的帐号口令进行修改,间隔不长于90天。
90天后使用原帐号口令进行登陆尝试,登录不成功;
使用超过90天的帐号口令进行登录尝试;
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
适用于4.x、5.x、6.x所有版本。
4.5授权
4.6
用户权利指派*
Jboss用户权利指派安全基线要求项
SBL-Jboss-02-03-01
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
编辑/server/default/config/login-config.xml配置文件,修改用户角色权限
application-policyname="
jmx-console"
org.jboss.security.auth.spi.UsersRolesLoginModule"
flag="
usersProperties"
props/jmx-console-users.properties<
rolesProperties"
props/jmx-console-roles.properties<
jmx-console角色浏览jboss的部署管理信息。
Web-console角色进行监控
port/web-console/访问页面正常
port/jmx-console/访问页面正常
第5章日志配置操作
第6章
6.1日志配置
6.2
审核登录
Jboss审核登录安全基线要求项
SBL-Jboss-03-01-01
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,使用的IP地址。
编辑${jboss}/server/${server}/conf/log4j.xml配置文件,
appendername="
FILE-0"
class="
org.jboss.logging.appender.DailyRollingFileAppender"
errorHandlerclass="
org.jboss.logging.util.OnlyOnceErrorHandler"
/>
paramname="
File"
value="
${jboss.server.log.dir}/server.log"
Append"
true"
Threshold"
ERROR"
DatePattern"
'
.'
yyyy-MM-dd_HH"
layoutclass="
org.apache.log4j.PatternLayout"
ConversionPattern"
%d%-5p[%t][%c{1}]%l%m%n"
/layout>
/appender>
Threshold是个全局的过滤器,它将把低于所设置的level的信息过滤不显示出来
优先级由高到低分为
OFF,FATAL,ERROR,WARN,INFO,DEBUG,ALL
参数都以%开始后面不同的参数代表不同的格式化信息(参数按字母表顺序列出):
%c输出所属类的全名,可在修改为%d{Num},Num类名输出的围
%输出日志时间其格式为%d{yyyy-MM-ddHH:
mm:
ss,SSS},可指定格式如%d{HH:
ss}
%l输出日志事件发生位置,包括类目名、发生线程,在代码中的行数
%
换行符
%m
输出代码指定信息,如info(“message”),输出message
%p输出优先级,即FATAL,ERROR等
%r输出从启动到显示该log信息所耗费的毫秒数
%t输出产生该日志事件的线程名
查看logs目录中相关日志文件内容,记录完整
查看server.log中相关日志记录
3、补充说明
第7章IP协议安全配置
第8章
8.1IP协议
8.2
支持加密协议
Jboss支持加密协议安全基线要求项
SBL-Jboss-04-01-01
对于通过HTTP协议进行远程维护的设备,设备应支持使用HTTPS等加密协议。
(1)使用JDK自带的keytool工具生成一个证书
JAVA_HOME/bin/keytool-genkey–aliastomcat–keyalgRSA
-keystore/path/to/my/keystore
(2)修改${jboss}/server/${server}/deploy/jbossweb-tomcat55.sar/conf/server.xml配置文件,更改为使用https方式,增加如下行:
Connectorclassname=”org.apache.catalina.http.HttpConnector”
port=”8443”minProcessors=”5”maxprocessors=”100”
enableLookups=”true”acceptCount=”10”debug=”0”
scheme=”https”secure=”true”>
Factoryclassname=”org.apache.catalina.SSLServerSocketFactory”
clientAuth=”false”
keystoreFile=”/path/to/my/keystore”keystorePass=”runway”
protocol=”TLS”/>
/Connector>
其中keystorePass的值为生成keystore时输入的密码
(3)重新启动Jboss服务
使用https方式登陆Jboss服务器页面,登陆成功
使用https方式登陆Jboss服务器管理页面
第9章设备其他配置操作
第10章
10.1安全管理
10.2
定时登出
Jboss定时登出安全基线要求项
SBL-Jboss-05-01-01
对于具备字符交互界面的设备,应支持定时账户自动登出。
登出后用户需再次登录才能进入系统。
编辑${jboss}/server/${server}/deploy/jbossweb-tomat55.sar/server.xml配置文件,修改为2000秒
Connectorport="
8100"
address="
${jboss.bind.address}"
maxThreads="
250"
strategy="
ms"
maxHttpHeaderSize="
8192"
emptySessionPath="
enableLookups="
false"
redirectPort="
8443"
acceptCount="
100"
connectionTimeout="
1800"
disableUploadTimeout="
URIEncoding="
utf-8"
30分自动登出。
登陆jboss默认页面,使用管理帐号登陆
更改默认端口*
Jboss运行端口安全基线要求项
SBL-Jboss-05-01-02
更改tomcat服务器默认端口
(1)修改${jboss}/server/${server}/deploy/jbossweb-tomat55.sar/server.xml配置文件,更改默认管理端口到8100
(2)重启JBOSS服务
2、补充操作说明
Jboss默认端口是8080,通常占用的端口是1098,1099,4444,4445,8080,8009,8083,8093
在windows系统中:
1098、1099、4444、4445、8083端口在/server/ehr_jsprd/conf/jboss-service.xml中
8080端口在/server/ehr_jsprd/deploy/jboss-web.deployer/server.xml中
8093端口在/server/ehr_jsprd/deploy/jms/uil2-service.xml中。
使用8100端口登陆页面成功
port/
错误页面处理
Jboss错误页面安全基线要求项
SBL-Jboss-05-01-03
Jboss错误页面重定向
1、参考配置操作
(1)查看${jboss}/server/${server}deploy/jbossweb-tomcat55.sar/conf文件:
2、
welcome-file-list>
welcome-file>
index.html<
/welcome-file>
index.htm<
index.jsp<
/welcome-file-list>
目录列表访问限制
Jboss目录列表安全基线要求项
SBL-Jboss-05-01-04
禁止Jboss列表显示文件
(1)编辑deploy/jbossweb-tomcat55.sar/conf配置文件,
init-param>
param-name>
listings<
/param-name>
param-value>
true<
/param-value>
/init-param>
把true改成false
(2)重新启动Jboss服务
当WEB目录中没有默认首页如index.html,index.jsp等文件时,不会列出目录内容
第11章评审与修订
第12章
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JBOSS 服务器 安全 配置 基线