JBOSS服务器安全配置基线要点.pdf

JBOSS 服务器安全配置基线 JBOSS 服务器安全配置基线 JBOSS 服务器安全配置基线 版本版本控制信息更新日期更新人审批人 V2.0 创建2012 年 4 月 备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 JBOSS 服务器安全配置基线 I 目录 第 1 章概述 . 1 1.1目的 . 1 1.2适用范围 . 1 1.3适用版本 . 1 1.4实施 . 1 1.5例外条款 . 1 第 2 章帐号管理、认证授权 . 1 2.1帐号 . 1 2.1.1jmx-console 登录的用户名和密码管理 1 2.1.2web-console 登录的用户名和密码管理 . 2 2.2口令 . 3 2.2.1密码复杂度. 3 2.2.2密码生存期* . 5 2.3授权 . 5 2.3.1 用户权利指派 * . 5 第 3 章日志配置操作 . 7 3.1日志配置 . 7 3.1.1审核登录. 7 第 4 章IP 协议安全配置 8 4.1IP 协议 . 8 4.1.1支持加密协议. 8 第 5 章设备其他配置操作 . 10 5.1安全管理 . 10 5.1.1定时登出. 10 5.1.2更改默认端口* . 10 5.1.3错误页面处理. 11 5.1.4目录列表访问限制 . 12 第 6 章评审与修订 . 13 JBOSS 服务器安全配置基线 中国移动通信有限公司第 1 页 共 16 页 第1章 概述 1.1 目的 本文档旨在指导系统管理人员进行Jboss服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 1.3 适用版本 4.x 版本的 Jboss服务器。 1.4 实施 1.5 例外条款 第2章 帐号管理、认证授权 2.1 帐号 2.1.1 jmx-console 登录的用户名和密码管理 安全基线项 目名称 jmx-console 登录的用户名和密码管理 安全基线编 号 SBL-Jboss-02-01-01 JBOSS 服务器安全配置基线 中国移动通信有限公司第 2 页 共 16 页 安全基线项 说明 默认情况访问http:/ip:port/jmx-console 需要输入用户名和密码。设置用户名 密码限制帐号,提高安全性。 检测操作步 骤 1、参考配置操作 （1）修改 Jboss目录下 $jboss/server/$server/deploy/jmx-console.war/WEB-INF/jboss-web.xml，去 掉 节点的注释 修改 jboss-web.xml 同级目录下的web.xml 文件，去掉 节 点的注释，在这里可以看到为登录配置了角色JBossAdmin （ 2）jmx-console 的安全域和运行角色JBossAdmin 都是在login-config.xml 中配置，在Jboss的安装目录 $jboss/server/$server/config下找到。在 login-config.xml中查找jmx-console 的 application-policy可以看到登录的角 色、用户等信息分别在$jboss/server/$server/config/props的 jmx-console-roles.properties 和 jmx-console-users.properties 文件中配置 2、补充操作说明 （1） jmx-console-users.properties 文件中定义了一个用户名为admin，的 用户。 （ 2） jmx-console-roles.properties文 件 中 默 认 为admin用 户 ， 定 义 了 JBossAdmin 和 HttpInvoker 这两个角色。 基线符合性 判定依据 1、检测操作 登陆 http:/ip:port/jmx-console 不能正常访问 2、补充操作判定条件 输入 jmx-console-users.properties 文件中定义的用户名和密码登陆正常 备注 2.1.2 web-console 登录的用户名和密码管理 安全基线项 目名称 web-console 登录的用户名和密码管理安全基线要求项 安全基线编 号 SBL-Jboss-02-01-02 JBOSS 服务器安全配置基线 中国移动通信有限公司第 3 页 共 16 页 安全基线项 说明 不需要输入用户名和密码存在安全隐患。设置用户名密码限制帐号。 检测操作步 骤 1、参考配置操作 修改 Jboss目录下 $jboss/server/$server/deploy/management/console-mgr.sar/web-console.w ar/WEB-INF 下 jboss-web.xml 文件，去掉 节点的注释。 修改中 jboss-web.xml 同目录下的web.xml 文件，去掉 节 点的部分注释进行修改，修改的内容如下： 修改 server/default/conf 下的 login-config.xml文件 2、补充操作说明 1、web-console-users.properties 文件中默认定义了一个用户名为admin，密码 也为 admin 的用户。 2、 web-console-roles.properties 文件中默认为admin 用户定义了JBossAdmin 和 HttpInvoker 这两个角色。 基线符合性 判定依据 1、检测操作 登陆http:/ip:port/web-console/不能访问页面 2、补充操作判定条件 输入 web-console-users.properties 文件中定义的用户名和密码登陆正常 备注 2.2 口令 2.2.1 密码复杂度 安全基线项 目名称 Jboss密码复杂度安全基线要求项 安全基线编 号 SBL-Jboss-02-02-01 安全基线项 说明 对于采用静态口令认证技术的设备，口令长度至少8 位，并包括数字、小写 字母、大写字母和特殊符号四类中至少两类。且5 次以内不得设置相同的口 JBOSS 服务器安全配置基线 中国移动通信有限公司第 4 页 共 16 页 令。密码应至少每90 天进行更换。 检测操作步 骤 1、参考配置操作 1. 在$jboss/server/$server/deploy/oracle-ds.xml配置文件中设置oracle 密 码机密 EncryptDBPassword 2. 在$jboss/server/$server/conf/login-config.xml配置文件中设置JNDI 加 密 -testDataSource 是连接池的名 称 apps - 用户 名 3fb2b2b29f74131a -加密后的密码 jboss.jca:service=LocalTxCM,name=testDataSource 2、补充操作说明 口令要求：长度至少8 位，并包括数字、小写字母、大写字母和特殊符号4 类中至少2 类。 基线符合性 判定依据 1、判定条件 检查 $jboss/server/$server/conf/login-config.xml配置文件中的帐号口令是 否符合口令复杂度要求。 2、检测操作 （1）人工检查配置文件中帐号口令是否符合； 备注 JBOSS 服务器安全配置基线 中国移动通信有限公司第 5 页 共 16 页 2.2.2 密码生存期 * 安全基线项 目名称 Jboss密码生存期安全基线要求项 安全基线编 号 SBL-Jboss-02-02-02 安全基线项 说明 对于采用静态口令认证技术的设备，应支持按天配置口令生存期功能，帐号 口令的生存期不长于90 天。 检测操作步 骤 1、参考配置操作 定期对管理Jbosss Web、 JMX 服务器的帐号口令进行修改，间隔不长于90 天。 基线符合性 判定依据 1、判定条件 90 天后使用原帐号口令进行登陆尝试，登录不成功； 2、检测操作 使用超过90 天的帐号口令进行登录尝试； 备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。适用于 4.x、5.x、6.x 所有版本。 2.3 授权 2.3.1 用户权利指派 * 安全基线项 目名称 Jboss用户权利指派安全基线要求项 安全基线编 号 SBL-Jboss-02-03-01 安全基线项 说明 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 检测操作步 骤 1、参考配置操作 编辑/server/default/config/login-config.xml配置文件，修改用户角色权限 props/jmx-console-users.properties props/jmx-console-roles.properties JBOSS 服务器安全配置基线 中国移动通信有限公司第 6 页 共 16 页 2、补充操作说明 jmx-console 角色浏览jboss的部署管理信息。 Web-console 角色进行监控 基线符合性 判定依据 1、判定条件 输入 web-console-users.properties 文件中定义的用户名和密码登陆正常 输入 jmx-console-users.properties 文件中定义的用户名和密码登陆正常 2、检测操作 登陆http:/ip:port/web-console/访问页面正常 登陆http:/ip:port/jmx-console/访问页面正常 备注 JBOSS 服务器安全配置基线 中国移动通信有限公司第 7 页 共 16 页 第3章 日志配置操作 3.1 日志配置 3.1.1 审核登录 安全基线项 目名称 Jboss审核登录安全基线要求项 安全基线编 号 SBL-Jboss-03-01-01 安全基线项 说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的 帐号，登录是否成功，登录时间，使用的IP 地址。 检测操作步 骤 1、参考配置操作 编辑 $jboss/server/$server/conf/ log4j.xml配置文件， 2、补充操作说明 Threshold 是个全局的过滤器，它将把低于所设置的level 的信息过滤不显示 出来 优先级由高到低分为 OFF ,FATAL ,ERROR ,W ARN ,INFO ,DEBUG ,ALL 参数都以 %开始后面不同的参数代表不同的格式化信息（参数按字母表顺序 列出）： %c 输出所属类的全名，可在修改为%dNum ,Num类名输出的围 % 输出日志时间其格式为%dyyyy-MM-dd HH:mm:ss,SSS ，可指定格式 如 %dHH:mm:ss %l 输出日志事件发生位置，包括类目名、发生线程，在代码中的行数 % 换行符 %m 输出代码指定信息，如info(“ message” ),输出 message JBOSS 服务器安全配置基线 中国移动通信有限公司第 8 页 共 16 页 %p 输出优先级，即FATAL ,ERROR 等 %r 输出从启动到显示该log 信息所耗费的毫秒数 %t 输出产生该日志事件的线程名 基线符合性 判定依据 1、判定条件 查看 logs 目录中相关日志文件内容，记录完整 2、检测操作 查看 server.log 中相关日志记录 3、补充说明 备注 第4章 IP 协议安全配置 4.1 IP 协议 4.1.1 支持加密协议 安全基线项 目名称 Jboss支持加密协议安全基线要求项 安全基线编 号 SBL-Jboss-04-01-01 安全基线项 说明 对于通过HTTP 协议进行远程维护的设备，设备应支持使用HTTPS 等加密 协议。 检测操作步 骤 1、参考配置操作 (1)使用 JDK 自带的 keytool 工具生成一个证书 JAVA_HOME/bin/keytool -genkey alias tomcat keyalg RSA -keystore /path/to/my/keystore (2) 修 改 $jboss/server/$server/deploy/jbossweb-tomcat55.sar/conf/server.xml 配置文件，更改为使用https 方式，增加如下行： Connector classname=” org.apache.catalina.http.HttpConnector ” port=” 8443” minProcessors=” 5” maxprocessors=” 100” enableLookups=” true” acceptCount=” 10” debug=” 0” scheme=” https” secure=” true” Factory classname=” org.apache.catalina.SSLServerSocketFactory” clientAuth= ” false” keystoreFile= ” /path/to/my/keystore ” keystorePass=” runway” protocol= ” TLS” / /Connector 其中 keystorePass的值为生成keystore 时输入的密码 (3)重新启动Jboss服务 JBOSS 服务器安全配置基线 中国移动通信有限公司第 9 页 共 16 页 基线符合性 判定依据 1、判定条件 使用 https 方式登陆Jboss服务器页面，登陆成功 2、检测操作 使用 https 方式登陆Jboss服务器管理页面 备注 JBOSS 服务器安全配置基线 中国移动通信有限公司第 10 页 共 16 页 第5章 设备其他配置操作 5.1 安全管理 5.1.1 定时登出 安全基线项 目名称 Jboss定时登出安全基线要求项 安全基线编 号 SBL-Jboss-05-01-01 安全基线项 说明 对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再 次登录才能进入系统。 检测操作步 骤 1、参考配置操作 编 辑 $jboss/server/$server/deploy/jbossweb-tomat55.sar/server.xml配 置 文 件，修改为2000 秒 基线符合性 判定依据 1、判定条件 30 分自动登出。 2、检测操作 登陆 jboss 默认页面，使用管理帐号登陆 3、补充说明 备注 5.1.2 更改默认端口 * 安全基线项 目名称 Jboss运行端口安全基线要求项 安全基线编 号 SBL-Jboss-05-01-02 安全基线项更改 tomcat 服务器默认端口 JBOSS 服务器安全配置基线 中国移动通信有限公司第 11 页 共 16 页 说明 检测操作步 骤 1、参考配置操作 （1）修改 $jboss/server/$server/deploy/jbossweb-tomat55.sar/server.xml配 置文件，更改默认管理端口到8100 （2）重启 JBOSS 服务 2、补充操作说明 Jboss默认端口是8080,通常占用的端口是1098，1099，4444，4445，8080， 8009，8083，8093 在 windows 系统中：1098、1099、4444、4445、8083 端口在 /server/ehr_jsprd /conf/jboss-service.xml 中 8080 端口在 /server/ ehr_jsprd /deploy/jboss-web.deployer/server.xml中 8093 端口在 /server/ ehr_jsprd /deploy/jms/uil2-service.xml中。 基线符合性 判定依据 1、判定条件 使用 8100 端口登陆页面成功 2、检测操作 登陆 http:/ip:port/ 备注 5.1.3 错误页面处理 安全基线项 目名称 Jboss错误页面安全基线要求项 安全基线编 号 SBL-Jboss-05-01-03 安全基线项 说明 Jboss错误页面重定向 检测操作步 骤 1、 参考配置操作(1)查看 $jboss/server/$serverdeploy/jbossweb-tomcat55.sar/conf文件 : index.html index.htm index.jsp JBOSS 服务器安全配置基线 中国移动通信有限公司第 12 页 共 16 页 基线符合性 判定依据 1、 判定条件 备注 5.1.4 目录列表访问限制 安全基线项 目名称 Jboss目录列表安全基线要求项 安全基线编 号 SBL-Jboss-05-01-04 安全基线项 说明 禁止 Jboss列表显示文件 检测操作步 骤 1、参考配置操作 (1) 编辑 deploy/jbossweb-tomcat55.sar/conf 配置文件， listings true 把 true 改成 false (2)重新启动Jboss服务 基线符合性 判定依据 1、判定条件 当 WEB 目录中没有默认首页如index.html,index.jsp 等文件时， 不会列出目录 内容 2、检测操作 备注 JBOSS 服务器安全配置基线 中国移动通信有限公司第 13 页 共 16 页 第6章 评审与修订