WebSphere安全配置参考

0x01 账号安全

1  应用用户角色管理

① 建议配置

以管理员身份打开管理控制台,执行：
(1) 点击“应用程序”-->“企业应用程序”双击要查看的应用程序
(2) 点击“其它属性”中的“映射安全性角色到用户/组”与开发人员确认协商，修改安全角色映射，保证“每个用户“、“所有已认证户”、“已映射的用户”、“已映射的组”进行安全的角色映射，没有赋予不必要的权限

② 备注事项

以管理员身份打开管理控制台,执行：
(1) 点击“应用程序”-->“企业应用程序”双击要查看的应用程序
(2) 点击“其它属性”中的“映射安全性角色到用户/组”查看安全角色是否映射到“每个用户“、“所有已认证用户”、“已映射的用户”、“已映射的组”是否正常

2  账号安全

特权管理账号在多个用户间共享，会引发很多安全问题，企业无法控制配置上的安全，不易定位安全事件责任人，同时特权账号非法使用者还可抹去审计信息

① 建议配置
以管理员身份打开管理控制台,执行：
(1) 点击“系统管理”-->“控制台设置”-->“控制台用户”点击要查看的用户名
(2) 查看用户所属组，管理账号应按角色分配用户角色为 monitor（监控员）、Configurator(配置员)、Operator（操作员）Administrator(管理员)之一

3  明文口令管理

不得在自动运行脚本、控制命令等地方出现 Websphere 明文口令，例如 cron脚本

① 建议配置
去除脚本中口令：
(1) 编辑文件
$WAS_HOME/profiles/<profilePath>/properties/soap.client.props ,设置

com.ibm.soap.securityenabled=true

com.ibm.soap.loginuserid=<user id>
com.ibm.soap.loginpassword=<password>

(2) 使用以下命令编码 com.ibm.SOAP.loginPassword property 值,检查输出结果并移走创建的备份文件：
$WAS_HOME/bin/PropFilePasswordEncoder.sh  soap.client.props
com.ibm.SOAP.loginPassword

② 备注事项

A 自动运行脚本、控制命令等地方没有 Websphere 明文口令
B 参考检测方法

B1以 root 身份执行：
#ps –ef|grep –i WebSphere
#su – WebSphere_username –c “crontab –l”
#crontab –l
要求回显内容中不含口令字
more $WAS_HOME/profiles/<profilePath>/properties/soap.client.props

4  口令复杂度

对于采用静态口令认证技术的设备，口令长度至少 8 位，并包括数字、小写字母、大写字母和特殊符号四类中至少 3 类。

① 建议配置
对 WebSphere 安装目录下的配置文件中的口令进行检查和设置。

0x02 权限与认证

Cosnaming 服务权限设置过大会引入安全隐患，删除 EVERYONE 组,将ALL_AUTHENTICATED 组角色仅设为”控制台命名读”。

1  控制台安全

① 建议配置
删除 EVERYONE 组将 ALL_AUTHENTICATED 组角色仅设为“控制台命名读”与应用程序开发人员确认命名服务权限修改对应用程序的影响，一般来说，除非 J2EE 应用程序明确指定了它的命名空间访问需求，否则更改缺省策略可能会导致在运行时发生意外的 org.omg.CORBA.NO_PERMISSION 异常。以管理员身份打开管理控制台，执行：
(1) 点击“环境”-->命名-->CORBA 命名服务用户
查看服务用户
(2) 点击“环境”-->命名-->CORBA 命名服务组

(3) 删除 EVERYONE 组
(4) 将 ALL_AUTHENTICATED 组角色仅设为“控制台命名读”

② 备注事项

(1) 点击“环境”-->命名-->CORBA 命名服务用户，查看服务用户
(2) 点击“环境”-->命名-->CORBA 命名服务组，查看服务组授权删除 EVERYONE 组将 ALL_AUTHENTICATED 组角色仅设为”控制台命名读”

 

2  全局安全性与 JAVA 安全

启用全局安全性，控制登录管理控制台，同时应用程序将可以使用 WebSphere的安全特性，Java 2 安全性在 J2EE 基于角色的授权之上提供访问控制保护的额外级别。它特别处理系统资源和 API 的保护，不启用 Java2 安全性会极大减弱应用的安全强度。

① 建议配置
启用全局安全性，如果应用程序是用 Java 2 安全性编程模型开发的，建议强制启用 Java 2 安全性
(1) 打开管理控制台
(2) 点击“安全性”-->”全局安全性”
(3) 勾选“启用全局安全性”和“强制 Java 2 安全性”

② 备注事项

(1) 打开管理控制台
(2) 点击“安全性”-->“全局安全性”，查看“启用全局安全性”和“强制 Java 2 安全性”是否启用

3  控制台会话超时设置

控制台会话默认 30 分钟 timeout,要求设置不大于 10分钟

① 建议配置
(1) 用文本编辑器打开文件$WAS_HOME/systemApps/adminconsole.ear/deployment.xml
(2) 设置<tuningParams ***** invalidationTimeout=“5”>

② 备注事项

用文本编辑器打开文件$WAS_HOME/systemApps/adminconsole.ear/deployment.xml ；查看 invalidationTimeout 的值

4  控制目录权限

config 和 properties 等控制目录权限不当会导致严重后果

① 建议配置
以 root 身份执行
(1) cd $WAS_HOMEAppServer/<profilepath>
chown -R root config
chmod –R 750 config
chown -R root properties
chmod –R 750 properties
(2) cd properties
chmod 700 TraceSettings.properties client.policy client_types.xml
implfactory.properties sas.client.props sas.stdclient.properties
sas.tools.properties soap.client.props wsadmin.properties wsjaas_client.conf
sas.server.props
(3) chmod 700 $WAS_HOME/bin/*.sh $WAS_HOME/<profilepath>bin/*.sh

② 备注事项

要求该目录仅能 root 权限可写，一般目录设置权限 750，检查 config 与 properties 目录及子目录访问权限

0x03 日志审计

启用日志可以回溯事件进行检查或审计，日志详细信息级别如果配置不当，会缺少必要的审计信息

① 建议配置

(1) 设置日志：
在导航窗格中，单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面，单击日志记录和跟踪-->单击要配置的系统日志（诊断跟踪、 静态更改，单击“配置”选项卡，动态更改点击“运行时”选项卡。
(2) 设置记录级别。
在导航窗格中，单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称。 在“故障诊断”下面，单击日志记录和跟踪,查看日志详细信息级别。启用所有日志，并配置日志详细信息级别为*=info: SecurityManager=all:SystemOut=all

② 备注事项

参考检测方法
以管理员身份打开管理控制台，执行：
(1) 查看设置日志的输出属性：
在导航窗格中，单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面，单击日志记录和跟踪-->单击要配置的系统日志（诊断跟踪、静态更改，单击“配置”选项卡，动态更改点击“运行时”选项卡。
(2) 查看日志设置日志级别。
在导航窗格中，单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称。-->在“故障诊断”下面，单击日志记录和跟踪，查看日志详细信息级别。

0x04 服务

1  禁止 file serving 服务

如果启用 file serving 服务，用户可能非法浏览应用服务器目录和文件,另外，应用服务器提供静态文件服务，性能会有较大的损失.

① 建议配置
用文本编辑器打开
$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xml ，设置 fileServingEnabled=”false”

② 备注事项

以 root 身份执行：
grep –i fileServingEnabled
$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi

2  错误页面处理

① 建议配置
设定默认出错页面，用文本编辑器打开
$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/
<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi
设置 defaultErrorPage=” filename of user defined ”

② 备注事项
以 root 身份执行:
grep -i defaultErrorPage
$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/
<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi

0x05 其他

某非法操作或误操作可能导致服务器崩溃，需要对 WebSphere 的配置文件进行日常备份保护，保证应用系统的可用性.

1 安全备份

① 建议配置
每周备份一次 config 和 properties 目录，至少每月备份一次 WebSphere 全目录,生产环境配置更改前必须先备份。
(1) 以 WAS 身份，执行：
#$WAS_HOME/bin/backupConfig.sh

如以 root 身份，最好运行：
#tar cvf $WAS_HOME/profiles/default/config
(2) 将 properties 目录打包：
#tar cvf $WAS_HOME/profiles/default/properties

2  示例程序删除

sample 例子程序会泄露系统敏感信息，存在较大的安全隐患

① 建议配置
以管理员身份打开管理控制台,执行：
(1) 点击“应用程序”-->“企业应用程序”
(2) 选中例子程序，然后点击“卸载”按钮, 卸载”“DefaultApplication”、“PlantsByWebSphere ”、 “SamplesGallery”、“ivtApp”等子程序
2 、补充说明
移走例子程序，应实验后，再在生产环境使用

② 备注事项
以管理员身份打开管理控制台,执行：点击“应用程序”-->“企业应用程序”查 看 是 否 存 在 “ DefaultApplication ”、 “ PlantsByWebSphere ”、“SamplesGallery”、“ivtApp”等子程序

3  禁止目录列出

禁止 WebSphere 浏览、列表显示目录

① 建议配置
用文本编辑器打开
$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi
设置 directoryBrowsingEnabled=”false”

② 备注事项
以 root 身份执行：
grep –i directoryBrowsingEnabled
$WAS_HOME/<profilepath>/config/cells/<hostname>/applications/<yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi

.4  更新补丁

要求 Websphere 更新了必要的安全补丁

① 建议配置
安装最新安全相关补丁
② 备注事项
以 root 权限执行查看命令(包含补丁安装信息)：
$WAS_HOME/bin/versioninfo.sh
$WAS_HOME/bin/historyinfo.sh
$WAS_HOME/bin/genHistoryReport.sh
$WAS_HOME/bin /genVersionReport.sh

 

欢迎大家分享更好的思路，热切期待^^_^^ !