系统安全配置技术规范Websphere文档格式.docx

系统安全配置技术规范Websphere文档格式.docx

《系统安全配置技术规范Websphere文档格式.docx》由会员分享，可在线阅读，更多相关《系统安全配置技术规范Websphere文档格式.docx（14页珍藏版）》请在冰豆网上搜索。

如无特殊说明，本规范所有配置项适用于IBMWebSphereApplicationServer（WAS）6.x,7.x，8.x版本。

其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；

未标示“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。

2.帐号管理与授权

1

2

2.1【基本】控制台帐号安全

配置项描述

配置WebSphere控制台帐号安全，要求按权利需要分配不同用户角色，同时保证权限最小化

检查方法

以管理员身份打开管理控制台,执行：

1.点击“系统管理”-->

”控制台设置”-->

“控制台用户”

2.点击要查看的用户名

3.查看用户所属组

操作步骤

要求不得出现共用特权管理帐号，管理帐号必须按角色分配用户角色为monitor（监控员）、Configurator（配置员）、Operator（操作员）Administrator（管理员）之

回退操作

回退到原有的配置设置

操作风险

低风险

2.2【基本】帐号的口令安全

配置WebSphere口令安全，要求用户口令至少6位，包括大小写，数字和符号中的至少两种

询问管理员是否存在如下类似的简单用户密码配置，比如：

Test、netscreen、admin、root1234

检查用户口令的设置情况，检查是否存在简单密码。

要求密码长度最少为6位，包含大小写字母、数字和特殊符号，密码变更周期。

2.3【基本】为应用用户定义合适的角色

为应用用户定义合适的角色，根据用户的需求，为用户分配不同的权限

1.点击“应用程序”-->

”企业应用程序”

2.双击要查看的应用程序

3.点击“其它属性”中的”映射安全性角色到用户/组”

要求安全角色映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”

3.点击“其它属性”中的”映射安全性角色到用户/组”，编辑用户角色

需要确认应用程序用户角色

2.4【基本】控制台安全

设置WebSphere控制台安全，要求EVERYONE组已删除，并且ALL_AUTHENTICATED组角色仅设为”控制台命名读”

1.点击“环境”-->

命名-->

CORBA命名服务用户

2.查看服务用户

3.点击“环境”-->

CORBA命名服务组

4.查看服务组授权

2.编辑服务用户

4.编辑服务组授权

2.5【基本】全局安全性与Java2安全

Java2安全性在J2EE基于角色的授权之上提供访问控制保护的额外级别。

它特别处理系统资源和API的保护，不启用Java2安全性会极大减弱应用的安全强度。

1.打开管理控制台

2.点击“安全性”-->

”全局安全性”

查看“启用全局安全性”和“强制Java2安全性”是否启用

3.勾选“启用全局安全性”和“强制Java2安全性”

3.日志配置要求

3

3.1【基本】开启应用日志记录

开启WebSphere日志记录，对设备运行状况、网络流量、用户行为等进行日志记录

1.查看设置日志的输出属性：

在导航窗格中，单击服务器>

应用程序服务器-->

单击您要使用的服务器的名称-->

在“故障诊断”下面，单击日志记录和跟踪-->

单击要配置的系统日志（诊断跟踪、静态更改，单击”配置”选项卡,动态更改点击”运行时”选项卡。

2.查看日志设置日志级别。

单击您要使用的服务器的名称。

-->

在“故障诊断”下面，单击日志记录和跟踪,查看日志详细信息级别。

要求启用所有日志，并配置日志详细信息级别为*=info:

SecurityManager=all:

SystemOut=all

占用一定磁盘空间

4.服务配置要求

4

4.1【基本】禁止列表显示文件

WebSphere文件访问，禁止WebSphere列表显示文件

查看fileServingEnabled参数设置文件

该文件位于WAR文件下的WEB-INF扩展中的ibm-web-ext.xmi文件中

$WAS_HOME/<

profilepath>

/config/cells/<

hostname>

/applications/

<

yourapplication>

.ear/<

.war/WEB-INF/ibm-web-ext.xmi

修改fileServingEnabled参数设置为false

要求fileServingEnabled=”false”

修改fileServingEnabled参数设置为原有参数

要求fileServingEnabled=原有参数

4.2【基本】禁止浏览列表显示目录

WebSphere目录列出，禁止WebSphere浏览、列表显示目录

Linux下：

以root身份执行：

grep–idirectoryBrowsingEnabled

Windows下：

安装路径：

\AppServer\profiles\BBS\config\cells\<

\applications\<

.ear\<

_war\<

.war\WEB-INF\ibm-web-ext.xmi

要求directoryBrowsingEnabled=”false”

directoryBrowsingEnabled=原有参数

4.3【基本】删除示例程序

WebSphere示例程序删除，防止攻击者利用默认的实例程序，威胁系统安全

1.点击“应用程序”-->

删除”DefaultApplication”、“PlantsByWebSphere“、“SamplesGallery”、“ivtApp”等例子程序

无

需确认例子程序是否有用途

4.4【基本】控制台超时设置

WebSphere控制台超时设置

1.用文本编辑器打开文件

$WAS_HOME/systemApps/adminconsole.ear/deployment.xml

查看invalidationTimeout的值

invalidationTimeout的值不得大于10

4.5【基本】更新WebSphere补丁

及时更新WebSphere补丁，修复系统漏洞，提高系统稳定性

Linux下：

以root权限执行查看命令（包含补丁安装信息）：

$WAS_HOME/bin/versioninfo.sh

$WAS_HOME/bin/historyinfo.sh

$WAS_HOME/bin/genHistoryReport.sh

$WAS_HOME/bin/genVersionReport.sh

Windows下：

查看文件c:

\WebSphere\AppServer\properties\com\ibm\websphere\product.xml，确定版本信息

要求Websphere更新了必要的补丁，要求补丁更新至最新

回退版本

未经测试的补丁可能导致系统不可用

4.6【基本】备份容错

开启WebSphere备份容错功能

访谈与实地了解针对Web应用的当前备份容错机制

要求备份容错机制中针对配置文件、主程序等的备份周期，介质及内容达到Web应用需求

4.7设置错误页面

将WebSphere错误页面指向自定义页面

以root身份执行:

grep-idefaultErrorPage

安装路径/IBMHTTPServer/conf/httpd.conf，检查500、404、402等错误页面配置

要求将配置文件中defaultErrorPage=设置为定义错误页面

恢复默认配置

系统通常会限制错误页面大小，超过一定大小的错误页面无法正常显示

4.8配置SSL访问

配置SSL协议，确保敏感数据的传输安全

netstat–an|grep443

netstat-aon|findstr"

443"

查看443端口是否被占用

创建证书

1.从IBMHTTPServer6.0打开“密钥管理实用程序”

2.在菜单栏单击“密钥管理实用程序”点击新建，创建“密钥数据库文件

3.选择CMS类型，文件名wcmkey.kdb，位置选在IBMIHS安装目录的etc目录下，点击确定，出现输入密码界面

4.填好密码、到期时间和密码存储方式后，点击确定，然后点击“创建”菜单，选择“创建自签署证书”

5.填好证书资料后，点击确定，创建自签署证书成功了。

下面将证书导出为p12格式的证书文件

6.输入证书密码后，导出证书就成功了，这样客户机访问的时候，直接将证书导入或安装就可以了

配置IBMIHS的配置文件httpd.conf

添加如下配置代码

LoadModuledeflate_modulemodules/mod_deflate.so

#AddOutputFilterByTypeDEFLATEtext/htmltext/plaintext/xml

Listen218.73.64.129:

80

Listen218.73.64.134:

443

Alias/webpic"

F:

/trswcm/webpic.ear/webpic.war"

Alias/pub"

/trswcm/pub.ear/pub.war"

Alias/template"

/trswcm/template.ear/template.war"

AddTypetext/html.htm

AddHandlerserver-parsed.htm

AddTypetext/html.asp

AddHandlerserver-parsed.asp

VirtualHost218.73.64.129:

80>

DocumentRoot"

DirectoryIndexindex.htmlindex.html.var

/VirtualHost>

VirtualHost218.73.64.134:

443>

LoadModuleibm_ssl_modulemodules/mod_ibm_ssl.so 

#加载SSL模块

SSLEnable 

#SSL模块生效

Keyfile"

D:

/ProgramFiles/IBMHTTPServer/etc/wcmkey.kdb"

#定义密钥数据库文件路径

SSLClientAuthrequired

在Websphere控制台中添加443端口

1．打开WebSphere管理控制台，在左侧菜单栏中依次选择：

环境>

>

虚拟主机

2．点击default_host>

其他属性>

主机别名>

新建

3．主机名“*”，端口号：

443（即HTTPS端口），点击确定，保存主配置更改，重新启动IBMIHS和WebSphere后，即开启SSL服务

4.9控制目录权限

定义控制目录权限，保证管理员拥有对目录的完全控制权

检查config与properties目录及子目录访问权限

Linux下

要求该目录仅能root权限可写，一般目录设置权限750

右键文件夹，属性->

安全->

编辑，修改各用户权限，仅保证管理员账户拥有读写权限，其他无关用户，根据需求分配相关权限

恢复目录访问权限的默认配置

config和properties等控制目录权限不当会导致严重后果

5.操作系统配置要求

操作系统的服务配置应符合操作系统配置规范，详细配置请参照《系统安全配置技术规范-Windows》或《系统安全配置技术规范-Linux》执行。