JBOSS服務(wù)器安全配置基線.doc

JBOSS 服務(wù)器安全配置基線 JBOSSJBOSS 服務(wù)器安全配置基線服務(wù)器安全配置基線 中國(guó)移動(dòng)通信有限公司中國(guó)移動(dòng)通信有限公司 管理信息系統(tǒng)部管理信息系統(tǒng)部 2012 年 04 月 JBOSS 服務(wù)器安全配置基線 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人審批人審批人 V2 0創(chuàng)建2012 年 4 月 備注 備注 1 若此文檔需要日后更新 請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格 否則刪除版本控制表格 JBOSS 服務(wù)器安全配置基線 I 目目 錄錄 第第 1 章章概述概述 1 1 1目的 1 1 2適用范圍 1 1 3適用版本 1 1 4實(shí)施 1 1 5例外條款 1 第第 2 章章帳號(hào)管理 認(rèn)證授權(quán)帳號(hào)管理 認(rèn)證授權(quán) 2 2 1帳號(hào) 2 2 1 1jmx console 登錄的用戶名和密碼管理 2 2 1 2web console 登錄的用戶名和密碼管理 3 2 2口令 4 2 2 1密碼復(fù)雜度 4 2 2 2密碼生存期 5 2 3授權(quán) 5 2 3 1用戶權(quán)利指派 5 第第 3 章章日志配置操作日志配置操作 7 3 1日志配置 7 3 1 1審核登錄 7 第第 4 章章IP 協(xié)議安全配置協(xié)議安全配置 8 4 1IP 協(xié)議 8 4 1 1支持加密協(xié)議 8 第第 5 章章設(shè)備其他配置操作設(shè)備其他配置操作 10 5 1安全管理 10 5 1 1定時(shí)登出 10 5 1 2更改默認(rèn)端口 10 5 1 3錯(cuò)誤頁(yè)面處理 11 5 1 4目錄列表訪問(wèn)限制 12 第第 6 章章評(píng)審與修訂評(píng)審與修訂 13 JBOSS 服務(wù)器安全配置基線 中國(guó)移動(dòng)通信有限公司第 1 頁(yè) 共 16 頁(yè) 第第 1 章章概述概述 1 1目的目的 本文檔規(guī)定了中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的 Jboss 服務(wù)器應(yīng) 當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn) 本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行 Jboss 服務(wù)器的安全配置 1 2適用范圍適用范圍 本配置標(biāo)準(zhǔn)的使用者包括 服務(wù)器系統(tǒng)管理員 應(yīng)用管理員 網(wǎng)絡(luò)安全管理員 本配置標(biāo)準(zhǔn)適用的范圍包括 支持中國(guó)移動(dòng)集團(tuán)公司管理信息系統(tǒng)部運(yùn)行的 Jboss 服 務(wù)器系統(tǒng) 1 3適用版本適用版本 4 x 版本的 Jboss 服務(wù)器 1 4實(shí)施實(shí)施 本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部 在本標(biāo)準(zhǔn)的執(zhí)行過(guò)程中 若有任何疑問(wèn)或建議 應(yīng)及時(shí)反饋 本標(biāo)準(zhǔn)發(fā)布之日起生效 1 5例外條款例外條款 欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款 申請(qǐng)人必須準(zhǔn)備書(shū)面申請(qǐng)文件 說(shuō)明業(yè)務(wù)需求和原因 送 交中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案 JBOSS 服務(wù)器安全配置基線 中國(guó)移動(dòng)通信有限公司第 2 頁(yè) 共 16 頁(yè) 第第 2 章章帳號(hào)管理 認(rèn)證授權(quán)帳號(hào)管理 認(rèn)證授權(quán) 2 1帳號(hào)帳號(hào) 2 1 1 jmx console 登錄的用戶名和密碼管理登錄的用戶名和密碼管理 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 jmx console 登錄的用戶名和密碼管理 安全基線編安全基線編 號(hào)號(hào) SBL Jboss 02 01 01 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 默認(rèn)情況訪問(wèn) http ip port jmx console 需要輸入用戶名和密碼 設(shè)置用戶名 密碼限制帳號(hào) 提高安全性 檢測(cè)操作步檢測(cè)操作步 驟驟 1 參考配置操作 參考配置操作 1 修改 Jboss 目錄下 jboss server server deploy jmx console war WEB INF jboss web xml 去 掉 節(jié)點(diǎn)的注釋 修改 jboss web xml 同級(jí)目錄下的 web xml 文件 去掉節(jié) 點(diǎn)的注釋 在這里可以看到為登錄配置了角色 JBossAdmin 2 jmx console 的安全域和運(yùn)行角色 JBossAdmin 都是在 login config xml 中配置 在 Jboss 的安裝目錄 jboss server server config 下找到 在 login config xml 中查找 jmx console 的 application policy 可以看到登錄的角 色 用戶等信息分別在 jboss server server config props 的 jmx console roles properties 和 jmx console users properties 文件中配置 2 補(bǔ)充操作說(shuō)明 補(bǔ)充操作說(shuō)明 1 jmx console users properties 文件中定義了一個(gè)用戶名為 admin 的 用戶 2 jmx console roles properties 文件中默認(rèn)為 admin 用戶 定義了 JBossAdmin 和 HttpInvoker 這兩個(gè)角色 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 檢測(cè)操作 檢測(cè)操作 登陸 http ip port jmx console 不能正常訪問(wèn) JBOSS 服務(wù)器安全配置基線 中國(guó)移動(dòng)通信有限公司第 3 頁(yè) 共 16 頁(yè) 2 補(bǔ)充操作判定條件 補(bǔ)充操作判定條件 輸入 jmx console users properties 文件中定義的用戶名和密碼登陸正常 備注備注 2 1 2 web console 登錄的用戶名和密碼管理登錄的用戶名和密碼管理 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 web console 登錄的用戶名和密碼管理安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) SBL Jboss 02 01 02 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 不需要輸入用戶名和密碼存在安全隱患 設(shè)置用戶名密碼限制帳號(hào) 檢測(cè)操作步檢測(cè)操作步 驟驟 1 參考配置操作 參考配置操作 修改 Jboss 目錄下 jboss server server deploy management console mgr sar web console war WEB INF 下 jboss web xml 文件 去掉節(jié)點(diǎn)的 注釋 修改中 jboss web xml 同目錄下的 web xml 文件 去掉節(jié) 點(diǎn)的部分注釋進(jìn)行修改 修改的內(nèi)容如下 修改 server default conf 下的 login config xml 文件 2 補(bǔ)充操作說(shuō)明 補(bǔ)充操作說(shuō)明 1 web console users properties 文件中默認(rèn)定義了一個(gè)用戶名為 admin 密 碼也為 admin 的用戶 2 web console roles properties 文件中默認(rèn)為 admin 用戶定義了 JBossAdmin 和 HttpInvoker 這兩個(gè)角色 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 檢測(cè)操作 檢測(cè)操作 登陸 http ip port web console 不能訪問(wèn)頁(yè)面 2 補(bǔ)充操作判定條件 補(bǔ)充操作判定條件 輸入 web console users properties 文件中定義的用戶名和密碼登陸正常 備注備注 JBOSS 服務(wù)器安全配置基線 中國(guó)移動(dòng)通信有限公司第 4 頁(yè) 共 16 頁(yè) 2 2口令口令 2 2 1 密碼復(fù)雜度密碼復(fù)雜度 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 Jboss 密碼復(fù)雜度安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) SBL Jboss 02 02 01 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備 口令長(zhǎng)度至少 8 位 并包括數(shù)字 小 寫(xiě)字母 大寫(xiě)字母和特殊符號(hào)四類中至少兩類 且 5 次次以內(nèi)不得設(shè)置相同的 口令 密碼應(yīng)至少每 90 天天進(jìn)行更換 檢測(cè)操作步檢測(cè)操作步 驟驟 1 參考配置操作 參考配置操作 1 在 jboss server server deploy oracle ds xml 配置文件中設(shè)置 oracle 密 碼機(jī)密 EncryptDBPassword 2 在 jboss server server conf login config xml 配置文件中設(shè)置 JNDI 加 密 testDataSource 是連接池的名 稱 apps 用戶名 3fb2b2b29f74131a 加密后的密碼 jboss jca service LocalTxCM name testDataSource JBOSS 服務(wù)器安全配置基線 中國(guó)移動(dòng)通信有限公司第 5 頁(yè) 共 16 頁(yè) 2 補(bǔ)充操作說(shuō)明 補(bǔ)充操作說(shuō)明 口令要求 長(zhǎng)度至少 8 位 并包括數(shù)字 小寫(xiě)字母 大寫(xiě)字母和特殊符號(hào) 4 類中至少 2 類 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 判定條件 判定條件 檢查 jboss server server conf login config xml 配置文件中的帳號(hào)口令是 否符合移動(dòng)通過(guò)配置口令復(fù)雜度要求 2 檢測(cè)操作 檢測(cè)操作 1 人工檢查配置文件中帳號(hào)口令是否符合 備注備注 2 2 2 密碼生存期密碼生存期 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 Jboss 密碼生存期安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) SBL Jboss 02 02 02 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備 應(yīng)支持按天配置口令生存期功能 帳號(hào) 口令的生存期不長(zhǎng)于 90 天 檢測(cè)操作步檢測(cè)操作步 驟驟 1 參考配置操作 參考配置操作 定期對(duì)管理 Jbosss Web JMX 服務(wù)器的帳號(hào)口令進(jìn)行修改 間隔不長(zhǎng)于 90 天 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 判定條件 判定條件 90 天后使用原帳號(hào)口令進(jìn)行登陸嘗試 登錄不成功 2 檢測(cè)操作 檢測(cè)操作 使用超過(guò) 90 天的帳號(hào)口令進(jìn)行登錄嘗試 備注備注根據(jù)應(yīng)用場(chǎng)景的不同 如部署場(chǎng)景需開(kāi)啟此功能 則強(qiáng)制要求此項(xiàng) 適用于 4 x 5 x 6 x 所有版本 2 3授權(quán)授權(quán) 2 3 1 用戶權(quán)利指派用戶權(quán)利指派 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 Jboss 用戶權(quán)利指派安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) SBL Jboss 02 03 01 JBOSS 服務(wù)器安全配置基線 中國(guó)移動(dòng)通信有限公司第 6 頁(yè) 共 16 頁(yè) 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 在設(shè)備權(quán)限配置能力內(nèi) 根據(jù)用戶的業(yè)務(wù)需要 配置其所需的最小權(quán)限 檢測(cè)操作步檢測(cè)操作步 驟驟 1 參考配置操作 參考配置操作 編輯 server default config login config xml配置文件 修改用戶角色權(quán)限 props jmx console users properties props jmx console roles properties 2 補(bǔ)充操作說(shuō)明 補(bǔ)充操作說(shuō)明 jmx console 角色瀏覽 jboss 的部署管理信息 Web console 角色進(jìn)行監(jiān)控 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 判定條件 判定條件 輸入 web console users properties 文件中定義的用戶名和密碼登陸正常 輸入 jmx console users properties 文件中定義的用戶名和密碼登陸正常 2 檢測(cè)操作 檢測(cè)操作 登陸 http ip port web console 訪問(wèn)頁(yè)面正常 登陸 http ip port jmx console 訪問(wèn)頁(yè)面正常 備注備注 JBOSS 服務(wù)器安全配置基線 中國(guó)移動(dòng)通信有限公司第 7 頁(yè) 共 16 頁(yè) 第第 3 章章日志日志配置操作配置操作 3 1日志配置日志配置 3 1 1 審核登錄審核登錄 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 Jboss 審核登錄安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) SBL Jboss 03 01 01 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 設(shè)備應(yīng)配置日志功能 對(duì)用戶登錄進(jìn)行記錄 記錄內(nèi)容包括用戶登錄使用的 帳號(hào) 登錄是否成功 登錄時(shí)間 使用的 IP 地址 檢測(cè)操作步檢測(cè)操作步 驟驟 1 參考配置操作 參考配置操作 編輯 jboss server server conf log4j xml 配置文件 2 補(bǔ)充操作說(shuō)明 補(bǔ)充操作說(shuō)明 Threshold 是個(gè)全局的過(guò)濾器 它將把低于所設(shè)置的 level 的信息過(guò)濾不顯示 出來(lái) 優(yōu)先級(jí)由高到低分為 OFF FATAL ERROR WARN INFO DEBUG ALL 參數(shù)都以 開(kāi)始后面不同的參數(shù)代表不同的格式化信息 參數(shù)按字母表順序 列出 c 輸出所屬類的全名 可在修改為 d Num Num 類名輸出的圍 輸出日志時(shí)間其格式為 d yyyy MM dd HH mm ss SSS 可指定格式 如 d HH mm ss l 輸出日志事件發(fā)生位置 包括類目名 發(fā)生線程 在代碼中的行數(shù) 換行符 m 輸出代碼指定信息 如 info message 輸出 message JBOSS 服務(wù)器安全配置基線 中國(guó)移動(dòng)通信有限公司第 8 頁(yè) 共 16 頁(yè) p 輸出優(yōu)先級(jí) 即 FATAL ERROR 等 r 輸出從啟動(dòng)到顯示該 log 信息所耗費(fèi)的毫秒數(shù) t 輸出產(chǎn)生該日志事件的線程名 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 判定條件 判定條件 查看 logs 目錄中相關(guān)日志文件內(nèi)容 記錄完整 2 檢測(cè)操作 檢測(cè)操作 查看 server log 中相關(guān)日志記錄 3 補(bǔ)充說(shuō)明 補(bǔ)充說(shuō)明 備注備注 第第 4 章章IPIP 協(xié)議安全協(xié)議安全配置配置 4 1IP 協(xié)議協(xié)議 4 1 1 支持加密協(xié)議支持加密協(xié)議 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 Jboss 支持加密協(xié)議安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) SBL Jboss 04 01 01 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 對(duì)于通過(guò) HTTP 協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備 設(shè)備應(yīng)支持使用 HTTPS 等加密 協(xié)議 檢測(cè)操作步檢測(cè)操作步 驟驟 1 參考配置操作 參考配置操作 1 使用 JDK 自帶的 keytool 工具生成一個(gè)證書(shū) JAVA HOME bin keytool genkey alias tomcat keyalg RSA keystore path to my keystore 2 修改 jboss server server deploy jbossweb tomcat55 sar conf server xml 配置文件 更改為使用 https 方式 增加如下行 Connector classname org apache catalina http HttpConnector port 8443 minProcessors 5 maxprocessors 100 enableLookups true acceptCount 10 debug 0 scheme https secure true Factory classname org apache catalina SSLServerSocketFactory clientAuth false keystoreFile path to my keystore keystorePass runway protocol TLS Connector 其中 keystorePass 的值為生成 keystore 時(shí)輸入的密碼 3 重新啟動(dòng) Jboss 服務(wù) JBOSS 服務(wù)器安全配置基線 中國(guó)移動(dòng)通信有限公司第 9 頁(yè) 共 16 頁(yè) 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 判定條件 判定條件 使用 https 方式登陸 Jboss 服務(wù)器頁(yè)面 登陸成功 2 檢測(cè)操作 檢測(cè)操作 使用 https 方式登陸 Jboss 服務(wù)器管理頁(yè)面 備注備注 JBOSS 服務(wù)器安全配置基線 中國(guó)移動(dòng)通信有限公司第 10 頁(yè) 共 16 頁(yè) 第第 5 章章設(shè)備其他配置操作設(shè)備其他配置操作 5 1安全管理安全管理 5 1 1 定時(shí)登出定時(shí)登出 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 Jboss 定時(shí)登出安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) SBL Jboss 05 01 01 安全基線項(xiàng)安全基線項(xiàng) 說(shuō)明說(shuō)明 對(duì)于具備字符交互界面的設(shè)備 應(yīng)支持定時(shí)賬戶自動(dòng)登出 登出后用戶需再 次登錄才能進(jìn)入系統(tǒng) 檢測(cè)操作步檢測(cè)操作步 驟驟 1 參考配置操作 參考配置操作 編輯 jboss server server deploy jbossweb tomat55 sar server xml 配置文 件 修改為 2000 秒 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 判定條件 判定條件 30 分自動(dòng)登出 2 檢測(cè)操作 檢測(cè)操作 登陸 jboss 默認(rèn)頁(yè)面 使用管理帳號(hào)登陸 3 補(bǔ)充說(shuō)明 補(bǔ)充說(shuō)明 備注備注 5 1 2 更改默認(rèn)端口更改默認(rèn)端口 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 Jboss 運(yùn)行端口安全基線要求項(xiàng) 安全基線編安全基線編 號(hào)號(hào) SBL Jboss 05 01 02 安全基線項(xiàng)安全基線項(xiàng)更改 tomcat 服務(wù)器默認(rèn)端口 JBOSS 服務(wù)器安全配置基線 中國(guó)移動(dòng)通信有限公司第 11 頁(yè) 共 16 頁(yè) 說(shuō)明說(shuō)明 檢測(cè)操作步檢測(cè)操作步 驟驟 1 參考配置操作 參考配置操作 1 修改 jboss server server deploy jbossweb tomat55 sar server xml 配 置文件 更改默認(rèn)管理端口到 8100 2 重啟 JBOSS 服務(wù) 2 補(bǔ)充操作說(shuō)明 補(bǔ)充操作說(shuō)明 Jboss 默認(rèn)端口是 8080 通常占用的端口是 1098 1099 4444 4445 8080 8009 8083 8093 在 windows 系統(tǒng)中 1098 1099 4444 4445 8083 端口在 server ehr jsprd conf jboss service xml 中 8080 端口在 server ehr jsprd deploy jboss web deployer server xml 中 8093 端口在 server ehr jsprd deploy jms uil2 service xml 中 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 判