2022年WebSphereWeb服务器安全配置基线 .pdf

《2022年WebSphereWeb服务器安全配置基线 .pdf》由会员分享，可在线阅读，更多相关《2022年WebSphereWeb服务器安全配置基线 .pdf（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、WebSphere Web服务器安全配置基线第 1 页 共 15 页WebSphere Web服务器安全配置基线名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 15 页 -WebSphere Web服务器安全配置基线第 2 页 共 15 页版本版本控制信息更新日期更新人审批人V1.0 创建2009 年 1 月V2.0 更新2012 年 4 月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 15 页 -WebSphere Web服务器安全配置基线第 3 页 共 15 页目录第 1 章概述

2、.41.1目的 .41.2适用范围 .41.3适用版本 .41.4实施 .41.5例外条款 .4第 2 章帐号管理、认证授权.42.1帐号 .42.1.1应用程序角色.42.1.2控制台帐号安全.52.1.3口令管理.52.1.4密码复杂度.62.2认证授权 .72.2.1控制台安全.72.2.2全局安全性与Java2安全.7第 3 章日志配置操作.93.1日志配置 .93.1.1日志与记录.9第 4 章备份容错 .104.1备份容错 .10第 5 章设备其他配置操作.115.1安全管理 .115.1.1控制台超时设置.115.1.2示例程序删除.115.1.3错误页面处理.125.1.4文件

3、访问限制.125.1.5目录列出访问限制.125.1.6控制目录权限.135.1.7补丁管理*.13第 6 章评审与修订 .15名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 15 页 -WebSphere Web服务器安全配置基线第 4 页 共 15 页第1章 概述1.1 目的本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。1.3 适用版本6.x 版本的 WebSphere Web服务器。1.4 实施1.5 例外条款第2章 帐号管理、认证授权2.1 帐号2.1.1 应

4、用程序角色安全基线项目名称WebSphere应用程序角色安全基线要求项安全基线编号SBL-WebSphere-02-01-01 安全基线项要求为应用用户定义合适的角色名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 15 页 -WebSphere Web服务器安全配置基线第 5 页 共 15 页说明检测操作步骤以管理员身份打开管理控制台,执行：1.点击“应用程序”-”企业应用程序”2.双击要查看的应用程序3.点击“其它属性”中的”映射安全性角色到用户/组”基线符合性判定依据要求安全角色映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”备注2.1.2 控制台帐号

5、安全安全基线项目名称WebSphere控制台帐号安全安全基线要求项安全基线编号SBL-WebSphere-02-01-02 安全基线项说明特权管理帐号在多个用户间共享，会引发很多安全问题，企业无法控制配置上的安全，不易定位安全事件责任人,同时特权帐号非法使用者还可抹去审计信息检测操作步骤以管理员身份打开管理控制台,执行：1.点击“系统管理”-”控制台设置”-“控制台用户”2.点击要查看的用户名3.查看用户所属组基线符合性判定依据要求不得出现共用特权管理帐号，管理帐号必须按角色分配用户角色为monitor（监控员）、Configurator(配置员)、Operator（操作员）Administr

6、ator(管理员)之一备注2.1.3 口令管理安全基线项目名称WebSphere口令安全基线要求项安全基线编号SBL-WebSphere-02-01-03 安全基线项说明不得在自动运行脚本、控制命令等地方出现Websphere明文口令，例如cron脚本检测操作步骤以 root 身份执行：#ps ef|grep i WebSphere#su WebSphere_username c“crontab l”名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 15 页 -WebSphere Web服务器安全配置基线第 6 页 共 15 页#crontab-l基线符合性判定依据要求回显内容中不

7、含口令字备注2.1.4 密码复杂度安全基线项目名称WebSphere密码复杂度安全基线要求项安全基线编号SBL-WebSphere-02-01-04 安全基线项说明对于采用静态口令认证技术的设备，口令长度至少8 位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5 次以内不得设置相同的口令。密码应至少每90 天进行更换。检测操作步骤1、参考配置操作查看 WebSphere安装目录下的配置文件2、补充操作说明口令要求：口令长度至少8 位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次以内不得设置相同的口令。密码应至少每90 天进行更换。基线符合性判定依据1、判定条

8、件备注名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 15 页 -WebSphere Web服务器安全配置基线第 7 页 共 15 页2.2 认证授权2.2.1 控制台安全安全基线项目名称WebSphere控制台安全基线要求项安全基线编号SBL-WebSphere-02-02-01 安全基线项说明Cosnaming 服务权限设置过大会引入安全隐患检测操作步骤以管理员身份打开管理控制台,执行：1.点击“环境”-命名-CORBA 命名服务用户2.查看服务用户3.点击“环境”-命名-CORBA 命名服务组4.查看服务组授权基线符合性判定依据要求 EVERYONE组已删除，并且ALL_A

9、UTHENTICATED组角色仅设为”控制台命名读”备注2.2.2 全局安全性与Java2 安全安全基线项目名称WebSphere全局安全性与Java2安全基线要求项安全基线编号SBL-WebSphere-02-02-02 安全基线项说明启用全局安全性，控制登录管理控制台，同时应用程序将可以使用WebSphere的安全特性,Java 2安全性在J2EE 基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和API 的保护，不启用Java2 安全性会极大减弱应用的安全强度。检测操作步骤1.打开管理控制台2.点击“安全性”-”全局安全性”查看“启用全局安全性”和“强制 Java 2安全

10、性”是否启用基线符合性判定依据要求“启用全局安全性”和“强制 Java 2安全性”启用名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 15 页 -WebSphere Web服务器安全配置基线第 8 页 共 15 页备注名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 15 页 -WebSphere Web服务器安全配置基线第 9 页 共 15 页第3章 日志配置操作3.1 日志配置3.1.1 日志与记录安全基线项目名称WebSphere日志记录安全基线要求项安全基线编号SBL-WebSphere-03-01-01 安全基线项说明启用日志可以回溯事件进行检查或审计，日志

11、详细信息级别如果配置不当，会缺少必要的审计信息检测操作步骤以管理员身份打开管理控制台,执行：1.查看设置日志的输出属性：在导航窗格中，单击服务器 应用程序服务器-单击您要使用的服务器的名称-在“故障诊断”下面，单击日志记录和跟踪-单击要配置的系统日志（诊断跟踪、静态更改，单击”配置”选项卡,动态更改点击”运行时”选项卡。2.查看日志设置日志级别。在导航窗格中，单击服务器 应用程序服务器-单击您要使用的服务器的名称。-在“故障诊断”下面，单击日志记录和跟踪,查看日志详细信息级别基线符合性判定依据要求启用所有日志，并配置日志详细信息级别为*=info:SecurityManager=all:Sys

12、temOut=all 备注名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 15 页 -WebSphere Web服务器安全配置基线第 10 页 共 15 页第4章 备份容错4.1 备份容错安全基线项目名称WebSphere备份容错安全基线要求项安全基线编号SBL-WebSphere-04-01-01 安全基线项说明某非法操作或误操作可能导致服务器崩溃，需要对WebSphere的配置文件进行日常备份保护，保证应用系统的可用性.检测操作步骤访谈与实地了解针对Web 应用的当前备份容错机制基线符合性判定依据要求备份容错机制中针对配置文件、主程序等的备份周期，介质及内容达到Web 应用需

13、求备注名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 15 页 -WebSphere Web服务器安全配置基线第 11 页 共 15 页第5章 设备其他配置操作5.1 安全管理5.1.1 控制台超时设置安全基线项目名称WebSphere控制台超时设置安全基线要求项安全基线编号SBL-WebSphere-05-01-01 安全基线项说明控制台会话默认30 分钟 timeout,要求设置不大于10 分钟检测操作步骤1.用文本编辑器打开文件$WAS_HOME/systemApps/adminconsole.ear/deployment.xml 查看 invalidationTimeo

14、ut的值基线符合性判定依据invalidationTimeout 的值不得大于30 备注5.1.2 示例程序删除安全基线项目名称WebSphere示例程序删除安全基线要求项安全基线编号SBL-WebSphere-05-01-02 安全基线项说明sample 例子程序会泄露系统敏感信息，存在较大的安全隐患检测操作步骤以管理员身份打开管理控制台,执行：1.点击“应用程序”-”企业应用程序”基线符合性判定依据不得存在”DefaultApplication”、“PlantsByWebSphere“、“SamplesGallery”、“ivtApp”等例子程序备注名师资料总结-精品资料欢迎下载-名师精心

15、整理-第 11 页，共 15 页 -WebSphere Web服务器安全配置基线第 12 页 共 15 页5.1.3 错误页面处理安全基线项目名称WebSphere错误页面安全基线要求项安全基线编号SBL-WebSphere-05-01-03 安全基线项说明如果没有定义默认错误网页，则当应用程序出错时会显示内部出错信息,暴露系统和应用的敏感信息检测操作步骤以 root 身份执行:grep-i defaultErrorPage$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmi基线符合性判定依据要求 defau

16、ltErrorPage=设置为定义错误页面备注5.1.4 文件访问限制安全基线项目名称WebSphere文件访问安全基线要求项安全基线编号SBL-WebSphere-05-01-04 安全基线项说明禁止 WebSphere列表显示文件检测操作步骤以 root 身份执行：grep i fileServingEnabled$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmi基线符合性判定依据要求 fileServingEnabled=”false”备注5.1.5 目录列出访问限制安全基线项目名称WebSphere

17、目录列出安全基线要求项名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 15 页 -WebSphere Web服务器安全配置基线第 13 页 共 15 页安全基线编号SBL-WebSphere-05-01-05 安全基线项说明禁止 WebSphere浏览、列表显示目录检测操作步骤以 root 身份执行：grep i directoryBrowsingEnabled$WAS_HOME/config/cells/applications/.ear/.war/WEB-INF/ibm-web-ext.xmi基线符合性判定依据要求 directoryBrowsingEnabled=”fal

18、se”备注5.1.6 控制目录权限安全基线项目名称WebSphere控制目录权限安全基线要求项安全基线编号SBL-WebSphere-05-01-06 安全基线项说明config 和 properties 等控制目录权限不当会导致严重后果检测操作步骤检查 config 与 properties 目录及子目录访问权限基线符合性判定依据要求该目录仅能root 权限可写，一般目录设置权限750 备注5.1.7 补丁管理*安全基线项目名称WebSphere补丁管理安全基线要求项安全基线编号SBL-WebSphere-05-01-07 安全基线项说明要求 Websphere更新了必要的补丁检测操作步骤以

19、 root 权限执行查看命令(包含补丁安装信息)：$WAS_HOME/bin/versioninfo.sh$WAS_HOME/bin/historyinfo.sh$WAS_HOME/bin/genHistoryReport.sh$WAS_HOME/bin/genVersionReport.sh名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 15 页 -WebSphere Web服务器安全配置基线第 14 页 共 15 页基线符合性判定依据要求补丁更新至最新备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 15 页 -WebSphere Web服务器安全配置基线第 15 页 共 15 页第6章 评审与修订名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页，共 15 页 -