WebSphere系统加固规范V01.docx
- 文档编号:8933367
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:35
- 大小:1.80MB
WebSphere系统加固规范V01.docx
《WebSphere系统加固规范V01.docx》由会员分享,可在线阅读,更多相关《WebSphere系统加固规范V01.docx(35页珍藏版)》请在冰点文库上搜索。
WebSphere系统加固规范V01
WebSphere系统加固规范
2018年10月
目 录
1账号管理、认证授权1
1.1账号1
1.1.1SHG-WebSphere-01-01-011
1.1.2SHG-WebSphere-01-01-023
1.2认证授权5
1.2.1SHG-WebSphere-01-02-015
1.2.2SHG-WebSphere-01-02-026
1.2.3SHG-WebSphere-01-02-038
2日志配置9
2.1.1SHG-WebSphere-02-01-019
3通信协议11
3.1.1SHG-WebSphere-03-01-0111
4设备其他安全要求13
4.1安装部署13
4.1.1SHG-WebSphere-04-01-0113
4.1.2SHG-WebSphere-04-01-0214
4.1.3SHG-WebSphere-04-01-0315
4.1.4SHG-WebSphere-04-01-0416
4.1.5SHG-WebSphere-04-01-0517
4.1.6SHG-WebSphere-04-01-0618
4.1.7SHG-WebSphere-04-01-0719
4.1.8SHG-WebSphere-04-01-0820
4.1.9SHG-WebSphere-04-01-0922
4.2运行维护23
4.2.1SHG-WebSphere-04-02-0123
4.2.2SHG-WebSphere-04-02-0228
4.2.3SHG-WebSphere-04-02-0329
4.3备份容错30
4.3.1SHG-WebSphere-04-03-0130
5附录:
系统开放端口及对应服务说明31
1账号管理、认证授权
1.1账号
1.1.1SHG-WebSphere-01-01-01
编号
SHG-WebSphere-01-01-01
名称
查看应用程序角色MAP
实施目的
用户定义的合适的角色MAP
问题影响
不合适的角色MAP会带来安全隐患
系统当前状态
以管理员身份打开管理控制台,执行:
1.点击“应用程序”-->”企业应用程序”
2.双击要查看的应用程序
3.点击“其它属性”中的”映射安全性角色到用户/组”
4.查看安全角色是否映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”
实施步骤
定义合适的角色MAP,注意也不可限制过多,否则应用会有问题
以管理员身份打开管理控制台,执行:
1.点击“应用程序”-->”企业应用程序”
2.双击要查看的应用程序
3.点击“其它属性”中的”映射安全性角色到用户/组”
4.与开发人员确认协商,修改安全角色映射,保证“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”进行安全的角色映射,没有赋予不必要的权限
回退方案
回复用户角色到加固前状态
判断依据
以管理员身份打开管理控制台,执行:
5.点击“应用程序”-->”企业应用程序”
6.双击要查看的应用程序
7.点击“其它属性”中的”映射安全性角色到用户/组”
8.查看安全角色是否映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”是否正常
实施风险
中
重要等级
★★★
备注
1.1.2SHG-WebSphere-01-01-02
编号
SHG-WebSphere-01-01-02
名称
控制台CosNaming服务安全设置
实施目的
删除EVERYONE组,将ALL_AUTHENTICATED组角色仅设为”控制台命名读”
问题影响
Cosnaming服务权限设置过大会引入安全隐患,如当EVERYONE组默认权限为控制台命名读时,Javaclient可以bypass用户认证步骤.
系统当前状态
以管理员身份打开管理控制台,执行:
1.点击“环境”-->命名-->CORBA命名服务用户
2.查看服务用户
3.点击“环境”-->命名-->CORBA命名服务组
4.查看服务组授权
实施步骤
删除EVERYONE组将ALL_AUTHENTICATED组角色仅设为”控制台命名读”
与应用程序开发人员确认命名服务权限修改对应用程序的影响,一般来说,除非J2EE应用程序明确指定了它的命名空间访问需求,否则更改缺省策略可能会导致在运行时发生意外的org.omg.CORBA.NO_PERMISSION异常
以管理员身份打开管理控制台,执行:
1.点击“环境”-->命名-->CORBA命名服务用户
2.查看服务用户
3.点击“环境”-->命名-->CORBA命名服务组
5.删除EVERYONE组
6.将ALL_AUTHENTICATED组角色仅设为”控制台命名读”
回退方案
判断依据
以管理员身份打开管理控制台,执行:
5.点击“环境”-->命名-->CORBA命名服务用户
6.查看服务用户
7.点击“环境”-->命名-->CORBA命名服务组
8.查看服务组授权
删除EVERYONE组将ALL_AUTHENTICATED组角色仅设为”控制台命名读”
实施风险
中
重要等级
★★★
备注
1.2认证授权
1.2.1SHG-WebSphere-01-02-01
编号
SHG-WebSphere-01-02-01
名称
启用全局安全性和JAVA2安全
实施目的
启用全局安全性和JAVA2安全
问题影响
不启用全局安全性,任何人都可以登录管理控制台并有完全控制权限,同时应用程序将不能使用WebSphere的安全特性,Java2安全性在J2EE基于角色的授权之上提供访问控制保护的额外级别。
它特别处理系统资源和API的保护,不启用Java2安全性会极大减弱应用的安全强度。
系统当前状态
1.打开管理控制台
2.点击“安全性”-->”全局安全性”
3.查看“启用全局安全性”和“强制Java2安全性”是否启用
实施步骤
启用全局安全性,如果应用程序是用Java2安全性编程模型开发的,建议强制启用Java2安全性
1.打开管理控制台
2.点击“安全性”-->”全局安全性”
3.勾选“启用全局安全性”和“强制Java2安全性”
回退方案
停止全局安全性和JAVA2安全
判断依据
启用全局安全性和JAVA2安全
实施风险
中
重要等级
★★★
备注
1.2.2SHG-WebSphere-01-02-02
编号
SHG-WebSphere-01-02-02
名称
使用管理角色分配给用户合适的管理权限
实施目的
查看控制台是否使用管理角色分配给用户合适的管理权限
问题影响
特权管理帐号在多个用户间共享带来很多安全问题,企业无法控制配置上的安全,不易定位安全事件责任人,同时特权帐号非法使用者还可抹去审计信息
系统当前状态
以管理员身份打开管理控制台,执行:
1.点击“系统管理”-->”控制台设置”-->“控制台用户”
2.点击要查看的用户名
3.查看用户所属组
实施步骤
不同的管理任务使用不同的管理角色帐号,减少特权帐号的使用
以管理员身份打开管理控制台,执行:
1.点击“系统管理”-->”控制台设置”-->“控制台用户”
2.添加用户
3.分配用户角色为monitor(监控员)、Configurator(配置员)、Operator(操作员)Administrator(管理员)之一
回退方案
判断依据
使用管理角色分配给用户合适的管理权限
实施风险
中
重要等级
★★★
备注
1.2.3SHG-WebSphere-01-02-03
编号
SHG-WebSphere-01-02-03
名称
去除脚本中口令
实施目的
查看应用服务器是否未编码口令
问题影响
在启用全局安全性后,如果在脚本中或在命令行使用如下命令
1.停止应用服务器命令
2.wsadmin–user
由于管理员口令明文存储或ps–ef命令可查看密码,存在严重的安全隐患
系统当前状态
查看$WAS_HOME/profiles/
实施步骤
编码服务器口令
1.去除脚本中口令
2.编辑文件
$WAS_HOME/profiles/
3.使用以下命令编码com.ibm.SOAP.loginPasswordproperty值,检查输出结果并移走创建的备份文件:
$WAS_HOME/bin/PropFilePasswordEncoder.shsoap.client.propscom.ibm.SOAP.loginPassword
回退方案
回复soap.client.props到加固前状态
判断依据
实施风险
中
重要等级
★★★
备注
2日志配置
2.1.1SHG-WebSphere-02-01-01
编号
SHG-WebSphere-02-01-01
名称
启用日志和设置记录级别
实施目的
查看是否启用日志以及记录级别
问题影响
不启用日志就无法回溯事件进行检查或审计,日志详细信息级别如果配置不当,会缺少必要的审计信息
系统当前状态
以管理员身份打开管理控制台,执行:
1.查看设置日志的输出属性:
在导航窗格中,单击服务器>应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面,单击日志记录和跟踪-->单击要配置的系统日志(诊断跟踪、
静态更改,单击”配置”选项卡,动态更改点击”运行时”选项卡。
2.查看日志设置日志级别。
在导航窗格中,单击服务器>应用程序服务器-->单击您要使用的服务器的名称。
-->在“故障诊断”下面,单击日志记录和跟踪,查看日志详细信息级别
实施步骤
1.设置日志:
在导航窗格中,单击服务器>应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面,单击日志记录和跟踪-->单击要配置的系统日志(诊断跟踪、静态更改,单击”配置”选项卡,动态更改点击”运行时”选项卡。
2.设置记录级别。
在导航窗格中,单击服务器>应用程序服务器-->单击您要使用的服务器的名称。
在“故障诊断”下面,单击日志记录和跟踪,查看日志详细信息级别。
启用所有日志,并配置日志详细信息级别为*=info:
SecurityManager=all:
SystemOut=all
回退方案
判断依据
实施风险
中
重要等级
★★★
备注
3通信协议
3.1.1SHG-WebSphere-03-01-01
编号
SHG-WebSphere-03-01-01
名称
使用“轻量级第三方认证协议LTPA”取代SWAM.
实施目的
查看是否启用SWAM认证
问题影响
由于SWAM认证机制依赖HTTPSession维护会话状态,安全性低于LTPA认证方式,并且最近出现了相关的安全漏洞,存在潜在的安全隐患
系统当前状态
以管理员身份打开管理控制台,执行:
1.点击“安全性”-->”全局安全性”
2.查看“启用全局安全性”是否启用
3.如果全局安全性启用,查看活动认证机制是否为“简单WebSphere认证机制(SWAM)“
实施步骤
以管理员身份打开管理控制台,执行:
1.点击“安全性”-->”全局安全性”
2.选择“LTPA轻量级第三方认证协议“取代“简单WebSphere认证机制(SWAM)”
回退方案
回复加固前状态
判断依据
实施风险
中
重要等级
★★★
备注
4设备其他安全要求
4.1安装部署
4.1.1SHG-WebSphere-04-01-01
编号
SHG-WebSphere-04-01-01
名称
查看WebSphere配置
实施目的
WebSphere在配置上采取必要的安全措施
问题影响
不恰当地配置存在安全隐患
系统当前状态
1.以WAS身份,执行:
#$WAS_HOME/bin/backupConfig.sh
最好运行:
#tarcvf压缩包名$WAS_HOME/profiles/default/config
2.将properties目录打包:
#tarcvf$WAS_HOME/profiles/default/properties
实施步骤
回退方案
判断依据
实施风险
高
重要等级
★★★
备注
4.1.2SHG-WebSphere-04-01-02
编号
SHG-WebSphere-04-01-02
名称
查看控制台会话timeout设置
实施目的
控制台会话timeout低于30分钟
问题影响
控制台会话默认30分钟timeout,安全性不高,容易导致非法使用
系统当前状态
1.用文本编辑器打开文件
$WAS_HOME/systemApps/adminconsole.ear/deployment.xml
实施步骤
将invalidationTimeout=“30”改为10,即10分钟无活动,控制台自动timeout,要求重新登录
1.用文本编辑器打开文件
$WAS_HOME/systemApps/adminconsole.ear/deployment.xml
2.设置
回退方案
$WAS_HOME/systemApps/adminconsole.ear/deployment.xml
恢复到加固前状态
判断依据
.用文本编辑器打开文件
$WAS_HOME/systemApps/adminconsole.ear/deployment.xml
查看tuningParams参数设置,例如默认设置30分钟timeout
实施风险
中
重要等级
★★★
备注
4.1.3SHG-WebSphere-04-01-03
编号
SHG-WebSphere-04-01-03
名称
删除sample例子程序
实施目的
删除sample例子程序
问题影响
sample例子程序会泄露系统敏感信息,存在较大的安全隐患
系统当前状态
以管理员身份打开管理控制台,执行:
1.点击“应用程序”-->”企业应用程序”
2.查看是否存在”DefaultApplication”、“PlantsByWebSphere“、“SamplesGallery”、“ivtApp”等例子程序
以root身份执行:
find$WAS_HOME/-namesample
实施步骤
移走例子程序,不要在生产环境使用
以管理员身份打开管理控制台,执行:
1.点击”应用程序”-->”企业应用程序”
2.选中例子程序,然后点击”卸载”按钮,卸载”DefaultApplication”、“PlantsByWebSphere“、“SamplesGallery”、“ivtApp”等子程序
3.find$WAS_HOME/-namesample
4.与开发人员确认,删除例子程序
回退方案
无
判断依据
以管理员身份打开管理控制台,执行:
1.点击“应用程序”-->”企业应用程序”
2.查看是否存在”DefaultApplication”、“PlantsByWebSphere“、“SamplesGallery”、“ivtApp”等例子程序
以root身份执行:
find$WAS_HOME/-namesample
没有sample程序
实施风险
中
重要等级
★★★
备注
4.1.4SHG-WebSphere-04-01-04
编号
SHG-WebSphere-04-01-04
名称
定义默认错误网页
实施目的
隐藏信息
问题影响
如果没有定义默认错误网页,则当应用程序出错时会显示内部出错信息,暴露系统和应用的敏感信息
系统当前状态
以root身份执行:
grep-idefaultErrorPage
$WAS_HOME/
实施步骤
设定默认出错页面
用文本编辑器打开
$WAS_HOME/
设置defaultErrorPage=”filenameofuserdefined”
回退方案
恢复ibm-web-ext.xmi到加固前的状态
判断依据
实施风险
中
重要等级
★★★
备注
4.1.5SHG-WebSphere-04-01-05
编号
SHG-WebSphere-04-01-05
名称
禁止fileserving服务
实施目的
禁止fileserving服务
问题影响
如果启用fileserving服务,用户可能非法浏览应用服务器目录和文件,另外,应用服务器提供静态文件服务,性能会有较大的损失.
系统当前状态
以root身份执行:
grep–ifileServingEnabled
$WAS_HOME/
实施步骤
用文本编辑器打开
$WAS_HOME/
设置fileServingEnabled=”false”
回退方案
恢复ibm-web-ext.xmi到加固前的状态
判断依据
实施风险
中
重要等级
★★★
备注
4.1.6SHG-WebSphere-04-01-06
编号
SHG-WebSphere-04-01-06
名称
禁止Directorybrowsing
实施目的
禁止Directorybrowsing
问题影响
如果启用Directorybrowsing,攻击者可以非法浏览目录,为进一步攻击做准备
系统当前状态
以root身份执行:
grep–idirectoryBrowsingEnabled
$WAS_HOME/
实施步骤
禁用目录浏览
用文本编辑器打开
$WAS_HOME/
设置directoryBrowsingEnabled=”false”
回退方案
恢复ibm-web-ext.xmi到加固前的状态
判断依据
实施风险
中
重要等级
★★★
备注
4.1.7SHG-WebSphere-04-01-07
编号
SHG-WebSphere-04-01-07
名称
限制MQ消息日志目录权限
实施目的
限制MQ消息日志目录权限
问题影响
MQ消息日志目录权限不当存在较大的安全隐患
系统当前状态
以root身份执行:
ls-al/var/mqm|greperrors
ls-al/var/mqm/errors/AMQERR01.LOG
ls-al/var/mqm/errors/AMQERR03.LOG
ls-al/var/mqm/qmgrs/@SYSTEM|greperrors
ls-al/var/mqm/qmgrs/@SYSTEM/errors/AMQERR01.LOG
ls-al/var/mqm/qmgrs/@SYSTEM/errors/AMQERR02.LOG
ls-al/var/mqm/qmgrs/@SYSTEM/errors/AMQERR03.LOG
ls-al/var/mqm/qmgrs/long_server_name|greperrors
ls-al/var/mqm/qmgrs/long_server_name/errors/AMQERR01.LOG
ls-al/var/mqm/qmgrs/long_server_name/errors/AMQERR02.LOG
ls-al/var/mqm/qmgrs/long_server_name/errors/AMQERR03.LOG
实施步骤
限制MQ消息日志目录权限
chmod3777/var/mqm/errors
chownmqm:
mqm/var/mqm/errors
chownmqm:
mqm/var/mqm/errors/AMQERR01.LOG
chmod666/var/mqm/errors/AMQERR01.LOG
chownmqm:
mqm/var/mqm/errors/AMQERR03.LOG
chmod666/var/mqm/errors/AMQERR03.LOG
chmod3777/var/mqm/qmgrs/@SYSTEM/errors
chownmqm:
mqm/var/mqm/qmgr
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WebSphere 系统 加固 规范 V01
![提示](https://static.bingdoc.com/images/bang_tan.gif)