JBOSS服務器安全配置基線.doc

JBOSS 服務器安全配置基線 JBOSSJBOSS 服務器安全配置基線服務器安全配置基線 中國移動通信有限公司中國移動通信有限公司 管理信息系統部管理信息系統部 2012 年 04 月 JBOSS 服務器安全配置基線 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人審批人審批人 V2 0創(chuàng)建2012 年 4 月 備注 備注 1 若此文檔需要日后更新 請創(chuàng)建人填寫版本控制表格 否則刪除版本控制表格 JBOSS 服務器安全配置基線 I 目目 錄錄 第第 1 章章概述概述 1 1 1目的 1 1 2適用范圍 1 1 3適用版本 1 1 4實施 1 1 5例外條款 1 第第 2 章章帳號管理 認證授權帳號管理 認證授權 2 2 1帳號 2 2 1 1jmx console 登錄的用戶名和密碼管理 2 2 1 2web console 登錄的用戶名和密碼管理 3 2 2口令 4 2 2 1密碼復雜度 4 2 2 2密碼生存期 5 2 3授權 5 2 3 1用戶權利指派 5 第第 3 章章日志配置操作日志配置操作 7 3 1日志配置 7 3 1 1審核登錄 7 第第 4 章章IP 協議安全配置協議安全配置 8 4 1IP 協議 8 4 1 1支持加密協議 8 第第 5 章章設備其他配置操作設備其他配置操作 10 5 1安全管理 10 5 1 1定時登出 10 5 1 2更改默認端口 10 5 1 3錯誤頁面處理 11 5 1 4目錄列表訪問限制 12 第第 6 章章評審與修訂評審與修訂 13 JBOSS 服務器安全配置基線 中國移動通信有限公司第 1 頁 共 16 頁 第第 1 章章概述概述 1 1目的目的 本文檔規(guī)定了中國移動通信有限公司管理信息系統部門所維護管理的 Jboss 服務器應 當遵循的安全性設置標準 本文檔旨在指導系統管理人員進行 Jboss 服務器的安全配置 1 2適用范圍適用范圍 本配置標準的使用者包括 服務器系統管理員 應用管理員 網絡安全管理員 本配置標準適用的范圍包括 支持中國移動集團公司管理信息系統部運行的 Jboss 服 務器系統 1 3適用版本適用版本 4 x 版本的 Jboss 服務器 1 4實施實施 本標準的解釋權和修改權屬于中國移動集團管理信息系統部 在本標準的執(zhí)行過程中 若有任何疑問或建議 應及時反饋 本標準發(fā)布之日起生效 1 5例外條款例外條款 欲申請本標準的例外條款 申請人必須準備書面申請文件 說明業(yè)務需求和原因 送 交中國移動通信有限公司管理信息系統部進行審批備案 JBOSS 服務器安全配置基線 中國移動通信有限公司第 2 頁 共 16 頁 第第 2 章章帳號管理 認證授權帳號管理 認證授權 2 1帳號帳號 2 1 1 jmx console 登錄的用戶名和密碼管理登錄的用戶名和密碼管理 安全基線項安全基線項 目名稱目名稱 jmx console 登錄的用戶名和密碼管理 安全基線編安全基線編 號號 SBL Jboss 02 01 01 安全基線項安全基線項 說明說明 默認情況訪問 http ip port jmx console 需要輸入用戶名和密碼 設置用戶名 密碼限制帳號 提高安全性 檢測操作步檢測操作步 驟驟 1 參考配置操作 參考配置操作 1 修改 Jboss 目錄下 jboss server server deploy jmx console war WEB INF jboss web xml 去 掉 節(jié)點的注釋 修改 jboss web xml 同級目錄下的 web xml 文件 去掉節(jié) 點的注釋 在這里可以看到為登錄配置了角色 JBossAdmin 2 jmx console 的安全域和運行角色 JBossAdmin 都是在 login config xml 中配置 在 Jboss 的安裝目錄 jboss server server config 下找到 在 login config xml 中查找 jmx console 的 application policy 可以看到登錄的角 色 用戶等信息分別在 jboss server server config props 的 jmx console roles properties 和 jmx console users properties 文件中配置 2 補充操作說明 補充操作說明 1 jmx console users properties 文件中定義了一個用戶名為 admin 的 用戶 2 jmx console roles properties 文件中默認為 admin 用戶 定義了 JBossAdmin 和 HttpInvoker 這兩個角色 基線符合性基線符合性 判定依據判定依據 1 檢測操作 檢測操作 登陸 http ip port jmx console 不能正常訪問 JBOSS 服務器安全配置基線 中國移動通信有限公司第 3 頁 共 16 頁 2 補充操作判定條件 補充操作判定條件 輸入 jmx console users properties 文件中定義的用戶名和密碼登陸正常 備注備注 2 1 2 web console 登錄的用戶名和密碼管理登錄的用戶名和密碼管理 安全基線項安全基線項 目名稱目名稱 web console 登錄的用戶名和密碼管理安全基線要求項 安全基線編安全基線編 號號 SBL Jboss 02 01 02 安全基線項安全基線項 說明說明 不需要輸入用戶名和密碼存在安全隱患 設置用戶名密碼限制帳號 檢測操作步檢測操作步 驟驟 1 參考配置操作 參考配置操作 修改 Jboss 目錄下 jboss server server deploy management console mgr sar web console war WEB INF 下 jboss web xml 文件 去掉節(jié)點的 注釋 修改中 jboss web xml 同目錄下的 web xml 文件 去掉節(jié) 點的部分注釋進行修改 修改的內容如下 修改 server default conf 下的 login config xml 文件 2 補充操作說明 補充操作說明 1 web console users properties 文件中默認定義了一個用戶名為 admin 密 碼也為 admin 的用戶 2 web console roles properties 文件中默認為 admin 用戶定義了 JBossAdmin 和 HttpInvoker 這兩個角色 基線符合性基線符合性 判定依據判定依據 1 檢測操作 檢測操作 登陸 http ip port web console 不能訪問頁面 2 補充操作判定條件 補充操作判定條件 輸入 web console users properties 文件中定義的用戶名和密碼登陸正常 備注備注 JBOSS 服務器安全配置基線 中國移動通信有限公司第 4 頁 共 16 頁 2 2口令口令 2 2 1 密碼復雜度密碼復雜度 安全基線項安全基線項 目名稱目名稱 Jboss 密碼復雜度安全基線要求項 安全基線編安全基線編 號號 SBL Jboss 02 02 01 安全基線項安全基線項 說明說明 對于采用靜態(tài)口令認證技術的設備 口令長度至少 8 位 并包括數字 小 寫字母 大寫字母和特殊符號四類中至少兩類 且 5 次次以內不得設置相同的 口令 密碼應至少每 90 天天進行更換 檢測操作步檢測操作步 驟驟 1 參考配置操作 參考配置操作 1 在 jboss server server deploy oracle ds xml 配置文件中設置 oracle 密 碼機密 EncryptDBPassword 2 在 jboss server server conf login config xml 配置文件中設置 JNDI 加 密 testDataSource 是連接池的名 稱 apps 用戶名 3fb2b2b29f74131a 加密后的密碼 jboss jca service LocalTxCM name testDataSource JBOSS 服務器安全配置基線 中國移動通信有限公司第 5 頁 共 16 頁 2 補充操作說明 補充操作說明 口令要求 長度至少 8 位 并包括數字 小寫字母 大寫字母和特殊符號 4 類中至少 2 類 基線符合性基線符合性 判定依據判定依據 1 判定條件 判定條件 檢查 jboss server server conf login config xml 配置文件中的帳號口令是 否符合移動通過配置口令復雜度要求 2 檢測操作 檢測操作 1 人工檢查配置文件中帳號口令是否符合 備注備注 2 2 2 密碼生存期密碼生存期 安全基線項安全基線項 目名稱目名稱 Jboss 密碼生存期安全基線要求項 安全基線編安全基線編 號號 SBL Jboss 02 02 02 安全基線項安全基線項 說明說明 對于采用靜態(tài)口令認證技術的設備 應支持按天配置口令生存期功能 帳號 口令的生存期不長于 90 天 檢測操作步檢測操作步 驟驟 1 參考配置操作 參考配置操作 定期對管理 Jbosss Web JMX 服務器的帳號口令進行修改 間隔不長于 90 天 基線符合性基線符合性 判定依據判定依據 1 判定條件 判定條件 90 天后使用原帳號口令進行登陸嘗試 登錄不成功 2 檢測操作 檢測操作 使用超過 90 天的帳號口令進行登錄嘗試 備注備注根據應用場景的不同 如部署場景需開啟此功能 則強制要求此項 適用于 4 x 5 x 6 x 所有版本 2 3授權授權 2 3 1 用戶權利指派用戶權利指派 安全基線項安全基線項 目名稱目名稱 Jboss 用戶權利指派安全基線要求項 安全基線編安全基線編 號號 SBL Jboss 02 03 01 JBOSS 服務器安全配置基線 中國移動通信有限公司第 6 頁 共 16 頁 安全基線項安全基線項 說明說明 在設備權限配置能力內 根據用戶的業(yè)務需要 配置其所需的最小權限 檢測操作步檢測操作步 驟驟 1 參考配置操作 參考配置操作 編輯 server default config login config xml配置文件 修改用戶角色權限 props jmx console users properties props jmx console roles properties 2 補充操作說明 補充操作說明 jmx console 角色瀏覽 jboss 的部署管理信息 Web console 角色進行監(jiān)控 基線符合性基線符合性 判定依據判定依據 1 判定條件 判定條件 輸入 web console users properties 文件中定義的用戶名和密碼登陸正常 輸入 jmx console users properties 文件中定義的用戶名和密碼登陸正常 2 檢測操作 檢測操作 登陸 http ip port web console 訪問頁面正常 登陸 http ip port jmx console 訪問頁面正常 備注備注 JBOSS 服務器安全配置基線 中國移動通信有限公司第 7 頁 共 16 頁 第第 3 章章日志日志配置操作配置操作 3 1日志配置日志配置 3 1 1 審核登錄審核登錄 安全基線項安全基線項 目名稱目名稱 Jboss 審核登錄安全基線要求項 安全基線編安全基線編 號號 SBL Jboss 03 01 01 安全基線項安全基線項 說明說明 設備應配置日志功能 對用戶登錄進行記錄 記錄內容包括用戶登錄使用的 帳號 登錄是否成功 登錄時間 使用的 IP 地址 檢測操作步檢測操作步 驟驟 1 參考配置操作 參考配置操作 編輯 jboss server server conf log4j xml 配置文件 2 補充操作說明 補充操作說明 Threshold 是個全局的過濾器 它將把低于所設置的 level 的信息過濾不顯示 出來 優(yōu)先級由高到低分為 OFF FATAL ERROR WARN INFO DEBUG ALL 參數都以 開始后面不同的參數代表不同的格式化信息 參數按字母表順序 列出 c 輸出所屬類的全名 可在修改為 d Num Num 類名輸出的圍 輸出日志時間其格式為 d yyyy MM dd HH mm ss SSS 可指定格式 如 d HH mm ss l 輸出日志事件發(fā)生位置 包括類目名 發(fā)生線程 在代碼中的行數 換行符 m 輸出代碼指定信息 如 info message 輸出 message JBOSS 服務器安全配置基線 中國移動通信有限公司第 8 頁 共 16 頁 p 輸出優(yōu)先級 即 FATAL ERROR 等 r 輸出從啟動到顯示該 log 信息所耗費的毫秒數 t 輸出產生該日志事件的線程名 基線符合性基線符合性 判定依據判定依據 1 判定條件 判定條件 查看 logs 目錄中相關日志文件內容 記錄完整 2 檢測操作 檢測操作 查看 server log 中相關日志記錄 3 補充說明 補充說明 備注備注 第第 4 章章IPIP 協議安全協議安全配置配置 4 1IP 協議協議 4 1 1 支持加密協議支持加密協議 安全基線項安全基線項 目名稱目名稱 Jboss 支持加密協議安全基線要求項 安全基線編安全基線編 號號 SBL Jboss 04 01 01 安全基線項安全基線項 說明說明 對于通過 HTTP 協議進行遠程維護的設備 設備應支持使用 HTTPS 等加密 協議 檢測操作步檢測操作步 驟驟 1 參考配置操作 參考配置操作 1 使用 JDK 自帶的 keytool 工具生成一個證書 JAVA HOME bin keytool genkey alias tomcat keyalg RSA keystore path to my keystore 2 修改 jboss server server deploy jbossweb tomcat55 sar conf server xml 配置文件 更改為使用 https 方式 增加如下行 Connector classname org apache catalina http HttpConnector port 8443 minProcessors 5 maxprocessors 100 enableLookups true acceptCount 10 debug 0 scheme https secure true Factory classname org apache catalina SSLServerSocketFactory clientAuth false keystoreFile path to my keystore keystorePass runway protocol TLS Connector 其中 keystorePass 的值為生成 keystore 時輸入的密碼 3 重新啟動 Jboss 服務 JBOSS 服務器安全配置基線 中國移動通信有限公司第 9 頁 共 16 頁 基線符合性基線符合性 判定依據判定依據 1 判定條件 判定條件 使用 https 方式登陸 Jboss 服務器頁面 登陸成功 2 檢測操作 檢測操作 使用 https 方式登陸 Jboss 服務器管理頁面 備注備注 JBOSS 服務器安全配置基線 中國移動通信有限公司第 10 頁 共 16 頁 第第 5 章章設備其他配置操作設備其他配置操作 5 1安全管理安全管理 5 1 1 定時登出定時登出 安全基線項安全基線項 目名稱目名稱 Jboss 定時登出安全基線要求項 安全基線編安全基線編 號號 SBL Jboss 05 01 01 安全基線項安全基線項 說明說明 對于具備字符交互界面的設備 應支持定時賬戶自動登出 登出后用戶需再 次登錄才能進入系統 檢測操作步檢測操作步 驟驟 1 參考配置操作 參考配置操作 編輯 jboss server server deploy jbossweb tomat55 sar server xml 配置文 件 修改為 2000 秒 基線符合性基線符合性 判定依據判定依據 1 判定條件 判定條件 30 分自動登出 2 檢測操作 檢測操作 登陸 jboss 默認頁面 使用管理帳號登陸 3 補充說明 補充說明 備注備注 5 1 2 更改默認端口更改默認端口 安全基線項安全基線項 目名稱目名稱 Jboss 運行端口安全基線要求項 安全基線編安全基線編 號號 SBL Jboss 05 01 02 安全基線項安全基線項更改 tomcat 服務器默認端口 JBOSS 服務器安全配置基線 中國移動通信有限公司第 11 頁 共 16 頁 說明說明 檢測操作步檢測操作步 驟驟 1 參考配置操作 參考配置操作 1 修改 jboss server server deploy jbossweb tomat55 sar server xml 配 置文件 更改默認管理端口到 8100 2 重啟 JBOSS 服務 2 補充操作說明 補充操作說明 Jboss 默認端口是 8080 通常占用的端口是 1098 1099 4444 4445 8080 8009 8083 8093 在 windows 系統中 1098 1099 4444 4445 8083 端口在 server ehr jsprd conf jboss service xml 中 8080 端口在 server ehr jsprd deploy jboss web deployer server xml 中 8093 端口在 server ehr jsprd deploy jms uil2 service xml 中 基線符合性基線符合性 判定依據判定依據 1 判