WebSphere安全配置参考

  • Post author:
  • Post category:其他


0x01 账号安全

1  应用用户角色管理

① 建议配置

以管理员身份打开管理控制台,执行:

(1) 点击“应用程序”–>“企业应用程序”双击要查看的应用程序

(2) 点击“其它属性”中的“映射安全性角色到用户/组”与开发人员确认协商,修改安全角色映射,保证“每个用户“、“所有已认证户”、“已映射的用户”、“已映射的组”进行安全的角色映射,没有赋予不必要的权限

② 备注事项

以管理员身份打开管理控制台,执行:

(1) 点击“应用程序”–>“企业应用程序”双击要查看的应用程序

(2) 点击“其它属性”中的“映射安全性角色到用户/组”查看安全角色是否映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”是否正常

2  账号安全

特权管理账号在多个用户间共享,会引发很多安全问题,企业无法控制配置上的安全,不易定位安全事件责任人,同时特权账号非法使用者还可抹去审计信息

① 建议配置

以管理员身份打开管理控制台,执行:

(1) 点击“系统管理”–>“控制台设置”–>“控制台用户”点击要查看的用户名

(2) 查看用户所属组,管理账号应按角色分配用户角色为 monitor(监控员)、Configurator(配置员)、Operator(操作员)Administrator(管理员)之一

3  明文口令管理

不得在自动运行脚本、控制命令等地方出现 Websphere 明文口令,例如 cron脚本

① 建议配置

去除脚本中口令:

(1) 编辑文件

$WAS_HOME/profiles/<profilePath>/properties/soap.client.props ,设置

com.ibm.soap.securityenabled=true

com.ibm.soap.loginuserid=<user id>

com.ibm.soap.loginpassword=<password>

(2) 使用以下命令编码 com.ibm.SOAP.loginPassword property 值,检查输出结果并移走创建的备份文件:

$WAS_HOME/bin/PropFilePasswordEncoder.sh  soap.client.props

com.ibm.SOAP.loginPassword

② 备注事项

A 自动运行脚本、控制命令等地方没有 Websphere 明文口令

B 参考检测方法

B1以 root 身份执行:

#ps –ef|grep –i WebSphere

#su – WebSphere_username –c “crontab –l”

#crontab –l

要求回显内容中不含口令字

more $WAS_HOME/profiles/<profilePath>/properties/soap.client.props

4  口令复杂度

对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号四类中至少 3 类。

① 建议配置

对 WebSphere 安装目录下的配置文件中的口令进行检查和设置。

0x02 权限与认证

Cosnaming 服务权限设置过大会引入安全隐患,删除 EVERYONE 组,将ALL_AUTHENTICATED 组角色仅设为”控制台命名读”。

1  控制台安全

① 建议配置

删除 EVERYONE 组将 ALL_AUTHENTICATED 组角色仅设为“控制台命名读”与应用程序开发人员确认命名服务权限修改对应用程序的影响,一般来说,除非 J2EE 应用程序明确指定了它的命名空间访问需求,否则更改缺省策略可能会导致在运行时发生意外的 org.omg.CORBA.NO_PERMISSION 异常。以管理员身份打开管理控制台,执行:

(1) 点击“环境”–>命名–>CORBA 命名服务用户

查看服务用户

(2) 点击“环境”–>命名–>CORBA 命名服务组

(3) 删除 EVERYONE 组

(4) 将 ALL_AUTHENTICATED 组角色仅设为“控制台命名读”

② 备注事项

(1) 点击“环境”–>命名–>CORBA 命名服务用户,查看服务用户

(2) 点击“环境”–>命名–>CORBA 命名服务组,查看服务组授权删除 EVERYONE 组将 ALL_AUTHENTICATED 组角色仅设为”控制台命名读”

2  全局安全性与 JAVA 安全

启用全局安全性,控制登录管理控制台,同时应用程序将可以使用 WebSphere的安全特性,Java 2 安全性在 J2EE 基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和 API 的保护,不启用 Java2 安全性会极大减弱应用的安全强度。

① 建议配置

启用全局安全性,如果应用程序是用 Java 2 安全性编程模型开发的,建议强制启用 Java 2 安全性

(1) 打开管理控制台

(2) 点击“安全性”–>”全局安全性”

(3) 勾选“启用全局安全性”和“强制 Java 2 安全性”

② 备注事项

(1) 打开管理控制台

(2) 点击“安全性”–>“全局安全性”,查看“启用全局安全性”和“强制 Java 2 安全性”是否启用

3  控制台会话超时设置

控制台会话默认 30 分钟 timeout,要求设置不大于 10分钟

① 建议配置

(1) 用文本编辑器打开文件$WAS_HOME/systemApps/adminconsole.ear/deployment.xml

(2) 设置<tuningParams ***** invalidationTimeout=“5”>

② 备注事项

用文本编辑器打开文件$WAS_HOME/systemApps/adminconsole.ear/deployment.xml ;查看 invalidationTimeout 的值

4  控制目录权限

config 和 properties 等控制目录权限不当会导致严重后果

① 建议配置

以 root 身份执行

(1) cd $WAS_HOMEAppServer/<profilepath>

chown -R root config

chmod –R 750 config

chown -R root properties

chmod –R 750 properties

(2) cd properties

chmod 700 TraceSettings.properties client.policy client_types.xml

implfactory.properties sas.client.props sas.stdclient.properties

sas.tools.properties soap.client.props wsadmin.properties wsjaas_client.conf

sas.server.props

(3) chmod 700 $WAS_HOME/bin/*.sh $WAS_HOME/<profilepath>bin/*.sh

② 备注事项

要求该目录仅能 root 权限可写,一般目录设置权限 750,检查 config 与 properties 目录及子目录访问权限

0x03 日志审计

启用日志可以回溯事件进行检查或审计,日志详细信息级别如果配置不当,会缺少必要的审计信息

① 建议配置

(1) 设置日志:

在导航窗格中,单击服务器 > 应用程序服务器–>单击您要使用的服务器的名称–>在“故障诊断”下面,单击日志记录和跟踪–>单击要配置的系统日志(诊断跟踪、 静态更改,单击“配置”选项卡,动态更改点击“运行时”选项卡。

(2) 设置记录级别。

在导航窗格中,单击服务器 > 应用程序服务器–>单击您要使用的服务器的名称。 在“故障诊断”下面,单击日志记录和跟踪,查看日志详细信息级别。启用所有日志,并配置日志详细信息级别为*=info: SecurityManager=all:SystemOut=all

② 备注事项

参考检测方法

以管理员身份打开管理控制台,执行:

(1) 查看设置日志的输出属性:

在导航窗格中,单击服务器 > 应用程序服务器–>单击您要使用的服务器的名称–>在“故障诊断”下面,单击日志记录和跟踪–>单击要配置的系统日志(诊断跟踪、静态更改,单击“配置”选项卡,动态更改点击“运行时”选项卡。

(2) 查看日志设置日志级别。

在导航窗格中,单击服务器 > 应用程序服务器–>单击您要使用的服务器的名称。–>在“故障诊断”下面,单击日志记录和跟踪,查看日志详细信息级别。

0x04 服务

1  禁止 file serving 服务

如果启用 file serving 服务,用户可能非法浏览应用服务器目录和文件,另外,应用服务器提供静态文件服务,性能会有较大的损失.

① 建议配置

用文本编辑器打开

$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xml ,设置 fileServingEnabled=”false”

② 备注事项

以 root 身份执行:

grep –i fileServingEnabled

$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi

2  错误页面处理

① 建议配置

设定默认出错页面,用文本编辑器打开

$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/

<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi

设置 defaultErrorPage=” filename of user defined ”

② 备注事项

以 root 身份执行:

grep -i defaultErrorPage

$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/

<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi

0x05 其他

某非法操作或误操作可能导致服务器崩溃,需要对 WebSphere 的配置文件进行日常备份保护,保证应用系统的可用性.

1 安全备份

① 建议配置

每周备份一次 config 和 properties 目录,至少每月备份一次 WebSphere 全目录,生产环境配置更改前必须先备份。

(1) 以 WAS 身份,执行:

#$WAS_HOME/bin/backupConfig.sh

如以 root 身份,最好运行:

#tar cvf $WAS_HOME/profiles/default/config

(2) 将 properties 目录打包:

#tar cvf $WAS_HOME/profiles/default/properties

2  示例程序删除

sample 例子程序会泄露系统敏感信息,存在较大的安全隐患

① 建议配置

以管理员身份打开管理控制台,执行:

(1) 点击“应用程序”–>“企业应用程序”

(2) 选中例子程序,然后点击“卸载”按钮, 卸载”“DefaultApplication”、“PlantsByWebSphere ”、 “SamplesGallery”、“ivtApp”等子程序

2 、补充说明

移走例子程序,应实验后,再在生产环境使用

② 备注事项

以管理员身份打开管理控制台,执行:点击“应用程序”–>“企业应用程序”查 看 是 否 存 在 “ DefaultApplication ”、 “ PlantsByWebSphere ”、“SamplesGallery”、“ivtApp”等子程序

3  禁止目录列出

禁止 WebSphere 浏览、列表显示目录

① 建议配置

用文本编辑器打开

$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi

设置 directoryBrowsingEnabled=”false”

② 备注事项

以 root 身份执行:

grep –i directoryBrowsingEnabled

$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi

.4  更新补丁

要求 Websphere 更新了必要的安全补丁

① 建议配置

安装最新安全相关补丁

② 备注事项

以 root 权限执行查看命令(包含补丁安装信息):

$WAS_HOME/bin/versioninfo.sh

$WAS_HOME/bin/historyinfo.sh

$WAS_HOME/bin/genHistoryReport.sh

$WAS_HOME/bin /genVersionReport.sh


欢迎大家分享更好的思路,热切期待^^_^^ !



版权声明:本文为qq_29277155原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。