WebSphere-Web服务器安全配置基线

来源：99网

WebSphere Web服务器

安全配置基线

中国移动通信有限公司管理信息系统部

2012年 04月

版本创建更新版本控制信息更新日期 2009年1月 2012年4月更新人审批人备注： 1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

第1章概述 ................................................... 错误!未定义书签。

目的 .................................................... 错误!未定义书签。适用范围 ................................................ 错误!未定义书签。适用版本 ................................................ 错误!未定义书签。实施 .................................................... 错误!未定义书签。例外条款 ................................................ 错误!未定义书签。

第2章帐号管理、认证授权 ..................................... 错误!未定义书签。

帐号 .................................................... 错误!未定义书签。

应用程序角色 ........................................ 错误!未定义书签。

控制台帐号安全 ...................................... 错误!未定义书签。口令管理 ............................................ 错误!未定义书签。密码复杂度 .......................................... 错误!未定义书签。认证授权 ................................................ 错误!未定义书签。

控制台安全 .......................................... 错误!未定义书签。全局安全性与Java2安全 .............................. 错误!未定义书签。

第3章日志配置操作 ........................................... 错误!未定义书签。

日志配置 ................................................ 错误!未定义书签。

日志与记录 .......................................... 错误!未定义书签。

第4章备份容错 ............................................... 错误!未定义书签。

备份容错 ................................................ 错误!未定义书签。

第5章设备其他配置操作 ....................................... 错误!未定义书签。

安全管理 ................................................ 错误!未定义书签。

控制台超时设置 ...................................... 错误!未定义书签。

示例程序删除 ........................................ 错误!未定义书签。错误页面处理 ........................................ 错误!未定义书签。文件访问 ........................................ 错误!未定义书签。目录列出访问 .................................... 错误!未定义书签。控制目录权限 ........................................ 错误!未定义书签。补丁管理* ........................................... 错误!未定义书签。

第6章评审与修订 ............................................. 错误!未定义书签。

第1章概述

1.1 目的

本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebSphere Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。

1.2 适用范围

本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的WebSphere Web服务器系统。

1.3 适用版本

版本的WebSphere Web服务器。

1.4 实施

本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5 例外条款

欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章帐号管理、认证授权

2.1 帐号 2.1.1 应用程序角色

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 WebSphere应用程序角色安全基线要求项 SBL-WebSphere-02-01-01 要求为应用用户定义合适的角色以管理员身份打开管理控制台,执行： 1. 点击“应用程序”-->”企业应用程序” 2. 双击要查看的应用程序 3. 点击“其它属性”中的”映射安全性角色到用户/组” 基线符合性判定依据备注要求安全角色映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组” 2.1.2 控制台帐号安全

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 WebSphere控制台帐号安全安全基线要求项 SBL-WebSphere-02-01-02 管理帐号在多个用户间共享，会引发很多安全问题，企业无法控制配置上的安全，不易定位安全事件责任人,同时帐号非法使用者还可抹去审计信息以管理员身份打开管理控制台,执行： 1. 点击“系统管理”-->”控制台设置”-->“控制台用户” 2. 点击要查看的用户名 3. 查看用户所属组基线符合性判定依据要求不得出现共用管理帐号，管理帐号必须按角色分配用户角色为monitor（监控员）、Configurator(配置员)、Operator（操作员）Administrator(管理员)之一备注 2.1.3 口令管理

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 WebSphere口令安全基线要求项 SBL-WebSphere-02-01-03 不得在自动运行脚本、控制命令等地方出现Websphere明文口令，例如cron脚本以root身份执行： #ps –ef|grep –i WebSphere #su – WebSphere_username –c “crontab –l” #crontab -l 要求回显内容中不含口令字基线符合性判定依据备注 2.1.4 密码复杂度

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 WebSphere密码复杂度安全基线要求项 SBL-WebSphere-02-01-04 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 1、参考配置操作查看WebSphere安装目录下的配置文件 2、补充操作说明口令要求：口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 1、判定条件基线符合性判定依据备注

2.2 认证授权 2.2.1 控制台安全

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 WebSphere控制台安全基线要求项 SBL-WebSphere-02-02-01 Cosnaming服务权限设置过大会引入安全隐患以管理员身份打开管理控制台,执行： 1. 点击“环境”-->命名-->CORBA 命名服务用户 2. 查看服务用户 3. 点击“环境”-->命名-->CORBA 命名服务组 4. 查看服务组授权基线符合性判定依据备注要求EVERYONE组已删除，并且ALL_AUTHENTICATED组角色仅设为”控制台命名读” 2.2.2 全局安全性与Java2安全

安全基线项目名称安全基线编号安全基线项说明 WebSphere全局安全性与Java2安全基线要求项 SBL-WebSphere-02-02-02 启用全局安全性，控制登录管理控制台，同时应用程序将可以使用WebSphere的安全特性,Java 2安全性在 J2EE 基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和 API 的保护，不启用Java2 安全性会极大减弱应用的安全强度。 1. 打开管理控制台 2. 点击“安全性”-->”全局安全性” 查看“启用全局安全性”和“强制Java 2安全性”是否启用基线符合性判定依据要求“启用全局安全性”和“强制Java 2安全性”启用检测操作步骤备注

第3章日志配置操作

3.1 日志配置 3.1.1 日志与记录

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 WebSphere日志记录安全基线要求项 SBL-WebSphere-03-01-01 启用日志可以回溯事件进行检查或审计，日志详细信息级别如果配置不当，会缺少必要的审计信息以管理员身份打开管理控制台,执行： 1. 查看设置日志的输出属性：在导航窗格中，单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面，单击日志记录和跟踪-->单击要配置的系统日志（诊断跟踪、静态更改，单击”配置”选项卡,动态更改点击”运行时”选项卡。 2. 查看日志设置日志级别。在导航窗格中，单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称。 -->在“故障诊断”下面，单击日志记录和跟踪,查看日志详细信息级别要求启用所有日志，并配置日志详细信息级别为*=info: SecurityManager=all: SystemOut=all 备注

基线符合性判定依据

第4章备份容错

4.1 备份容错

安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据备注

WebSphere备份容错安全基线要求项 SBL-WebSphere-04-01-01 某非法操作或误操作可能导致服务器崩溃，需要对WebSphere的配置文件进行日常备份保护，保证应用系统的可用性. 访谈与实地了解针对Web应用的当前备份容错机制要求备份容错机制中针对配置文件、主程序等的备份周期，介质及内容达到Web应用需求

第5章设备其他配置操作

5.1 安全管理 5.1.1 控制台超时设置

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 WebSphere控制台超时设置安全基线要求项 SBL-WebSphere-05-01-01 控制台会话默认30分钟timeout,要求设置不大于10分钟 1.用文本编辑器打开文件 $WAS_HOME/systemApps/ 查看invalidationTimeout的值基线符合性判定依据备注 invalidationTimeout的值不得大于30 5.1.2 示例程序删除

安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据备注

WebSphere示例程序删除安全基线要求项 SBL-WebSphere-05-01-02 sample例子程序会泄露系统敏感信息，存在较大的安全隐患以管理员身份打开管理控制台,执行： 1. 点击“应用程序”-->”企业应用程序” 不得存在” DefaultApplication”、 “PlantsByWebSphere “、 “SamplesGallery”、“ivtApp”等例子程序 5.1.3 错误页面处理

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 WebSphere错误页面安全基线要求项 SBL-WebSphere-05-01-03 如果没有定义默认错误网页，则当应用程序出错时会显示内部出错信息,暴露系统和应用的敏感信息以root身份执行: grep -i defaultErrorPage $WAS_HOME//config/cells//applications/ .ear/.war/WEB-INF/ 要求defaultErrorPage=设置为定义错误页面备注基线符合性判定依据 5.1.4 文件访问

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 WebSphere文件访问安全基线要求项 SBL-WebSphere-05-01-04 禁止WebSphere列表显示文件以root身份执行： grep –i fileServingEnabled $WAS_HOME//config/cells//applications/ .ear/.war/WEB-INF/ 要求fileServingEnabled=”false” 基线符合性判定依据备注 5.1.5 目录列出访问

安全基线项目名称 WebSphere目录列出安全基线要求项安全基线编号安全基线项说明检测操作步骤 SBL-WebSphere-05-01-05 禁止WebSphere浏览、列表显示目录以root身份执行： grep –i directoryBrowsingEnabled $WAS_HOME//config/cells//applications/ .ear/.war/WEB-INF/ 要求directoryBrowsingEnabled=”false” 基线符合性判定依据备注 5.1.6 控制目录权限

安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据备注 WebSphere控制目录权限安全基线要求项 SBL-WebSphere-05-01-06 config和properties等控制目录权限不当会导致严重后果检查config与properties目录及子目录访问权限要求该目录仅能root权限可写，一般目录设置权限750 5.1.7 补丁管理*

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 WebSphere补丁管理安全基线要求项 SBL-WebSphere-05-01-07 要求Websphere更新了必要的补丁以root权限执行查看命令(包含补丁安装信息)： $WAS_HOME/bin/ $WAS_HOME/bin/ $WAS_HOME/bin/ $WAS_HOME/bin / 基线符合性判定依据备注

要求补丁更新至最新根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

第6章评审与修订

本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文