WebSphereWeb服務(wù)器安全配置基線要點(diǎn)_第1頁(yè)
WebSphereWeb服務(wù)器安全配置基線要點(diǎn)_第2頁(yè)
WebSphereWeb服務(wù)器安全配置基線要點(diǎn)_第3頁(yè)
WebSphereWeb服務(wù)器安全配置基線要點(diǎn)_第4頁(yè)
WebSphereWeb服務(wù)器安全配置基線要點(diǎn)_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余16頁(yè)可下載查看

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、WebSphere Web服務(wù)器安全配置基線WebSphere Web服 務(wù)器安全配置基線版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月V2.0更新2012年4月備注:1.若此文檔需要日后更新,請(qǐng)創(chuàng)建人填寫版本控制表格,否則刪除版本控制表格。第21頁(yè)共15頁(yè)第1章概述 41.1 目的41.2 適用范圍41.3 適用版本41.4 實(shí)施41.5 例外條款4第2章帳號(hào)管理、認(rèn)證授權(quán) 42.1 帳號(hào)42.1.1 應(yīng)用程序角色42.1.2 控制臺(tái)帳號(hào)安全 52.1.3 口令管理52.1.4 密碼復(fù)雜度62.2 認(rèn)證授權(quán)72.2.1 控制臺(tái)安全72.2.2 全局安全性與Java2安全7第3

2、章日志配置操作 93.1 日志配置93.1.1 日志與記錄9第4章備份容錯(cuò)104.1 備份容錯(cuò)10第5章設(shè)備其他配置操作 115.1 安全管理115.1.1 控制臺(tái)超時(shí)設(shè)置 115.1.2 示例程序刪除115.1.3 錯(cuò)誤頁(yè)面處理 125.1.4 文件訪問(wèn)限制125.1.5 目錄列出訪問(wèn)限制125.1.6 控制目錄權(quán)限135.1.7 補(bǔ)丁管理 * 13第6章評(píng)審與修訂15第1章概述1.1 目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行WebSphere Web服務(wù)器的安全配置。1.2 適用范圍本配置標(biāo)準(zhǔn)的使用者包括:服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。1.3 適用版本6.x版本的 WebSphe

3、re Web服務(wù)器。1.4 實(shí)施1.5 例外條款第2章帳號(hào)管理、認(rèn)證授權(quán)2.1 帳號(hào)2.1.1應(yīng)用程序角色安全基線項(xiàng) 目名稱WebSphere應(yīng)用程序角色安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-02-01-01安全基線項(xiàng)要求為應(yīng)用用戶定義合適的角色說(shuō)明檢測(cè)操作步 驟以管理員身份打開(kāi)管理控制臺(tái),執(zhí)行:1. 點(diǎn)擊“應(yīng)用程序”-> ”企業(yè)應(yīng)用程序”2. 雙擊要查看的應(yīng)用程序3. 點(diǎn)擊“其它屬性”中的”映射安全性角色到用戶/組”基線符合性 判定依據(jù)要求安全角色映射到“每個(gè)用戶“、“所有已認(rèn)證用戶”、“已映射的用戶”、“已映射的組”備注2.1.2控制臺(tái)帳號(hào)安全安全基線項(xiàng) 目名稱We

4、bSphere控制臺(tái)帳號(hào)安全安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-02-01-02安全基線項(xiàng) 說(shuō)明特權(quán)管理帳號(hào)在多個(gè)用戶間共享,會(huì)引發(fā)很多安全問(wèn)題,企業(yè)無(wú)法控制配置 上的安全,不易定位安全事件責(zé)任人,冋時(shí)特權(quán)帳號(hào)非法使用者還可抹去審計(jì) 信息檢測(cè)操作步 驟以管理員身份打開(kāi)管理控制臺(tái),執(zhí)行:1. 點(diǎn)擊“系統(tǒng)管理”->”控制臺(tái)設(shè)置”-> “控制臺(tái)用戶”2. 點(diǎn)擊要查看的用戶名3. 查看用戶所屬組基線符合性 判定依據(jù)要求不得出現(xiàn)共用特權(quán)管理帳號(hào),管理帳號(hào)必須按角色分配用戶角色為monitor (監(jiān)控員)、Configurator(配置員卜 Operator (操作員)Ad

5、ministrator(管 理員)之一備注2.1.3 口令管理安全基線項(xiàng) 目名稱WebSphere 口令安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-02-01-03安全基線項(xiàng) 說(shuō)明不得在自動(dòng)運(yùn)行腳本、控制命令等地方出現(xiàn)Websphere明文口令,例如cron腳本檢測(cè)操作步 驟以root身份執(zhí)行:#ps -ef|grep - WebSphere#su -WebSphere user name - c “ cron tab - 1 ”#cron tab -l基線符合性 判定依據(jù)要求回顯內(nèi)容中不含口令字備注2.1.4密碼復(fù)雜度安全基線項(xiàng) 目名稱WebSphere密碼復(fù)雜度安全基線要求項(xiàng)安

6、全基線編 號(hào)SBL-WebSphere-02-01-04安全基線項(xiàng) 說(shuō)明對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,口令長(zhǎng)度至少8位,并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每 90天進(jìn)行更換。檢測(cè)操作步 驟1、參考配置操作查看 WebSphere安裝目錄下的配置文件2、補(bǔ)充操作說(shuō)明口令要求:口令長(zhǎng)度至少8位,并包括數(shù)字、小與字母、大與字母和特殊符號(hào)四類中至少兩類。 且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換?;€符合性 判定依據(jù)1、判定條件備注2.2認(rèn)證授權(quán)2.2.1控制臺(tái)安全安全基線項(xiàng) 目名稱WebSphere控制臺(tái)安全基線要求項(xiàng)安

7、全基線編 號(hào)SBL-WebSphere-02-02-01安全基線項(xiàng) 說(shuō)明Cosnaming服務(wù)權(quán)限設(shè)置過(guò)大會(huì)引入安全隱患檢測(cè)操作步 驟以管理員身份打開(kāi)管理控制臺(tái),執(zhí)行:1. 點(diǎn)擊“環(huán)境”->命名->CORBA命名服務(wù)用戶2. 查看服務(wù)用戶3. 點(diǎn)擊“環(huán)境”->命名->CORBA命名服務(wù)組4. 查看服務(wù)組授權(quán)基線符合性 判定依據(jù)要求EVERYONE組已刪除,并且 ALL_AUTHENTICATED組角色僅設(shè)為”控制臺(tái)命名讀”備注2.2.2全局安全性與 Java2安全安全基線項(xiàng) 目名稱WebSphere全局安全性與 Java2安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSph

8、ere-02-02-02安全基線項(xiàng) 說(shuō)明啟用全局安全性,控制登錄管理控制臺(tái),冋時(shí)應(yīng)用程序?qū)⒖梢允褂?WebSphere 的安全特性Java 2安全性在J2EE基于角色的授權(quán)之上提供訪問(wèn)控制保護(hù)的 額外級(jí)別。它特別處理系統(tǒng)資源和API的保護(hù),不啟用Java2安全性會(huì)極大減弱應(yīng)用的安全強(qiáng)度。檢測(cè)操作步 驟1. 打開(kāi)管理控制臺(tái)2. 點(diǎn)擊“安全性”-> ”全局安全性”查看“啟用全局安全性”和“強(qiáng)制Java 2安全性”是否啟用基線符合性 判定依據(jù)要求“啟用全局安全性”和“強(qiáng)制Java 2安全性”啟用備注第3章日志配置操作3.1 日志配置3.1.1日志與記錄安全基線項(xiàng) 目名稱WebSphere日志記

9、錄安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-03-01-01安全基線項(xiàng) 說(shuō)明啟用日志可以回溯事件進(jìn)行檢查或?qū)徲?jì),日志詳細(xì)信息級(jí)別如果配置不當(dāng), 會(huì)缺少必要的審計(jì)信息檢測(cè)操作步 驟以管理員身份打開(kāi)管理控制臺(tái),執(zhí)行:1. 查看設(shè)置日志的輸出屬性:在導(dǎo)航窗格中,單擊服務(wù)器 應(yīng)用程序服務(wù)器-單擊您要使用的服務(wù)器 的名稱-在“故障診斷”下面,單擊日志記錄和跟蹤-單擊要配置的系統(tǒng)日 志(診斷跟蹤、靜態(tài)更改,單擊”配置”選項(xiàng)卡,動(dòng)態(tài)更改點(diǎn)擊”運(yùn)行時(shí)”選項(xiàng)卡。2. 查看日志設(shè)置日志級(jí)別。在導(dǎo)航窗格中,單擊服務(wù)器 應(yīng)用程序服務(wù)器-單擊您要使用的服務(wù)器的名稱。-在“故障診斷”下面,單擊日志記錄和跟蹤

10、,查看日志詳細(xì)信息級(jí)別基線符合性 判定依據(jù)要求啟用所有日志,并配置日志詳細(xì)信息級(jí)別為*=i nfo: SecurityMa nager=all:SystemOut=all備注第4章備份容錯(cuò)4.1 備份容錯(cuò)安全基線項(xiàng) 目名稱WebSphere備份容錯(cuò)安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-04-01-01安全基線項(xiàng) 說(shuō)明某非法操作或誤操作可能導(dǎo)致服務(wù)器崩潰,需要對(duì)WebSphere的配置文件進(jìn)行日常備份保護(hù),保證應(yīng)用系統(tǒng)的可用性檢測(cè)操作步 驟訪談與實(shí)地了解針對(duì) Web應(yīng)用的當(dāng)前備份容錯(cuò)機(jī)制基線符合性 判定依據(jù)要求備份容錯(cuò)機(jī)制中針對(duì)配置文件、主程序等的備份周期,介質(zhì)及內(nèi)容達(dá)到Web

11、應(yīng)用需求備注第5章設(shè)備其他配置操作5.1 安全管理5.1.1控制臺(tái)超時(shí)設(shè)置安全基線項(xiàng) 目名稱WebSphere控制臺(tái)超時(shí)設(shè)置安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-05-01-01安全基線項(xiàng) 說(shuō)明控制臺(tái)會(huì)話默認(rèn)30分鐘timeout,要求設(shè)置不大于10分鐘檢測(cè)操作步 驟1.用文本編輯器打開(kāi)文件$WAS_HOME/systemApps/admi neon sole.ear/deployme nt.xml 查看 in validati on Timeout 的值基線符合性 判定依據(jù)invalidationTimeout 的值不得大于 30備注5.1.2示例程序刪除安全基線項(xiàng) 目名稱

12、WebSphere示例程序刪除安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-05-01-02安全基線項(xiàng) 說(shuō)明sample例子程序會(huì)泄露系統(tǒng)敏感信息,存在較大的安全隱患檢測(cè)操作步 驟以管理員身份打開(kāi)管理控制臺(tái),執(zhí)行:1.點(diǎn)擊“應(yīng)用程序”-> ”企業(yè)應(yīng)用程序”基線符合性 判定依據(jù)不得存在” DefaultApplieation、”“PlantsByWebSphere、“SamplesGallery”、“ ivtApp ”等例子程序備注5.1.3錯(cuò)誤頁(yè)面處理安全基線項(xiàng) 目名稱WebSphere錯(cuò)誤頁(yè)面安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-05-01-03安全基線項(xiàng)

13、說(shuō)明如果沒(méi)有定義默認(rèn)錯(cuò)誤網(wǎng)頁(yè),則當(dāng)應(yīng)用程序出錯(cuò)時(shí)會(huì)顯示內(nèi)部出錯(cuò)信息,暴露系統(tǒng)和應(yīng)用的敏感信息檢測(cè)操作步 驟以root身份執(zhí)行:grep -i defaultErrorPage$WAS_HOME/<profilepath>/co nfig/cells/<host name/applicatio ns/ vyourapplicati on> .ear/<yourapplicati on> .war/WEB-INF/ibm-web-ext.xmi基線符合性 判定依據(jù)要求defaultErrorPage=設(shè)置為疋義錯(cuò)誤頁(yè)面?zhèn)渥?.1.4文件訪問(wèn)限制安全基線項(xiàng) 目名稱

14、WebSphere文件訪冋安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-05-01-04安全基線項(xiàng) 說(shuō)明禁止WebSphere列表顯示文件檢測(cè)操作步 驟以root身份執(zhí)行:grep - fileServi ngEn abled$WAS_HOME/<profilepath>/co nfig/cells/<host name/applicatio ns/<yourapplicati on> .ear/<yourapplicati on> .war/WEB-INF/ibm-web-ext.xmi基線符合性 判定依據(jù)要求 fileServingEna

15、bled= false備注5.1.5目錄列出訪問(wèn)限制安全基線項(xiàng) 目名稱WebSphere目錄列出安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-05-01-05安全基線項(xiàng) 說(shuō)明禁止 WebSphere瀏覽、列表顯示目錄檢測(cè)操作步 驟以root身份執(zhí)行:grep - directoryBrowsi ngEn abled$WAS_HOME/<profilepath>/co nfig/cells/<host name/applicatio ns/ vyourapplicati on> .ear/<yourapplicati on> .war/WEB-INF

16、/ibm-web-ext.xmi基線符合性 判定依據(jù)要求 directoryBrowsingEnabled= false備注5.1.6控制目錄權(quán)限安全基線項(xiàng) 目名稱WebSphere控制目錄權(quán)限安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-05-01-06安全基線項(xiàng) 說(shuō)明config和properties等控制目錄權(quán)限不當(dāng)會(huì)導(dǎo)致嚴(yán)重后果檢測(cè)操作步 驟檢查 config 與 properties目錄及子 目錄訪問(wèn)權(quán)限基線符合性 判定依據(jù)要求該目錄僅能root權(quán)限可寫,一般目錄設(shè)置權(quán)限750備注5.1.7補(bǔ)丁管理*安全基線項(xiàng) 目名稱WebSphere補(bǔ)丁管理安全基線要求項(xiàng)安全基線編 號(hào)SBL-WebSphere-05-01

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論