JBOSS服务器安全配置基线要点.pdf
《JBOSS服务器安全配置基线要点.pdf》由会员分享,可在线阅读,更多相关《JBOSS服务器安全配置基线要点.pdf(16页珍藏版)》请在三一文库上搜索。
1、JBOSS 服务器安全配置基线 JBOSS 服务器安全配置基线 JBOSS 服务器安全配置基线 版本版本控制信息更新日期更新人审批人 V2.0 创建2012 年 4 月 备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。 JBOSS 服务器安全配置基线 I 目录 第 1 章概述 . 1 1.1目的 . 1 1.2适用范围 . 1 1.3适用版本 . 1 1.4实施 . 1 1.5例外条款 . 1 第 2 章帐号管理、认证授权 . 1 2.1帐号 . 1 2.1.1jmx-console 登录的用户名和密码管理 1 2.1.2web-console 登录的用户名和
2、密码管理 . 2 2.2口令 . 3 2.2.1密码复杂度. 3 2.2.2密码生存期* . 5 2.3授权 . 5 2.3.1 用户权利指派 * . 5 第 3 章日志配置操作 . 7 3.1日志配置 . 7 3.1.1审核登录. 7 第 4 章IP 协议安全配置 8 4.1IP 协议 . 8 4.1.1支持加密协议. 8 第 5 章设备其他配置操作 . 10 5.1安全管理 . 10 5.1.1定时登出. 10 5.1.2更改默认端口* . 10 5.1.3错误页面处理. 11 5.1.4目录列表访问限制 . 12 第 6 章评审与修订 . 13 JBOSS 服务器安全配置基线 中国移动通
3、信有限公司第 1 页 共 16 页 第1章 概述 1.1 目的 本文档旨在指导系统管理人员进行Jboss服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 1.3 适用版本 4.x 版本的 Jboss服务器。 1.4 实施 1.5 例外条款 第2章 帐号管理、认证授权 2.1 帐号 2.1.1 jmx-console 登录的用户名和密码管理 安全基线项 目名称 jmx-console 登录的用户名和密码管理 安全基线编 号 SBL-Jboss-02-01-01 JBOSS 服务器安全配置基线 中国移动通信有限公司第 2 页 共 16 页
4、 安全基线项 说明 默认情况访问http:/ip:port/jmx-console 需要输入用户名和密码。设置用户名 密码限制帐号,提高安全性。 检测操作步 骤 1、参考配置操作 (1)修改 Jboss目录下 $jboss/server/$server/deploy/jmx-console.war/WEB-INF/jboss-web.xml,去 掉 节点的注释 修改 jboss-web.xml 同级目录下的web.xml 文件,去掉 节 点的注释,在这里可以看到为登录配置了角色JBossAdmin ( 2)jmx-console 的安全域和运行角色JBossAdmin 都是在login-con
5、fig.xml 中配置,在Jboss的安装目录 $jboss/server/$server/config下找到。在 login-config.xml中查找jmx-console 的 application-policy可以看到登录的角 色、用户等信息分别在$jboss/server/$server/config/props的 jmx-console-roles.properties 和 jmx-console-users.properties 文件中配置 2、补充操作说明 (1) jmx-console-users.properties 文件中定义了一个用户名为admin,的 用户。 ( 2)
6、 jmx-console-roles.properties文 件 中 默 认 为admin用 户 , 定 义 了 JBossAdmin 和 HttpInvoker 这两个角色。 基线符合性 判定依据 1、检测操作 登陆 http:/ip:port/jmx-console 不能正常访问 2、补充操作判定条件 输入 jmx-console-users.properties 文件中定义的用户名和密码登陆正常 备注 2.1.2 web-console 登录的用户名和密码管理 安全基线项 目名称 web-console 登录的用户名和密码管理安全基线要求项 安全基线编 号 SBL-Jboss-02-01
7、-02 JBOSS 服务器安全配置基线 中国移动通信有限公司第 3 页 共 16 页 安全基线项 说明 不需要输入用户名和密码存在安全隐患。设置用户名密码限制帐号。 检测操作步 骤 1、参考配置操作 修改 Jboss目录下 $jboss/server/$server/deploy/management/console-mgr.sar/web-console.w ar/WEB-INF 下 jboss-web.xml 文件,去掉 节点的注释。 修改中 jboss-web.xml 同目录下的web.xml 文件,去掉 节 点的部分注释进行修改,修改的内容如下: 修改 server/default/c
8、onf 下的 login-config.xml文件 2、补充操作说明 1、web-console-users.properties 文件中默认定义了一个用户名为admin,密码 也为 admin 的用户。 2、 web-console-roles.properties 文件中默认为admin 用户定义了JBossAdmin 和 HttpInvoker 这两个角色。 基线符合性 判定依据 1、检测操作 登陆http:/ip:port/web-console/不能访问页面 2、补充操作判定条件 输入 web-console-users.properties 文件中定义的用户名和密码登陆正常 备注
9、2.2 口令 2.2.1 密码复杂度 安全基线项 目名称 Jboss密码复杂度安全基线要求项 安全基线编 号 SBL-Jboss-02-02-01 安全基线项 说明 对于采用静态口令认证技术的设备,口令长度至少8 位,并包括数字、小写 字母、大写字母和特殊符号四类中至少两类。且5 次以内不得设置相同的口 JBOSS 服务器安全配置基线 中国移动通信有限公司第 4 页 共 16 页 令。密码应至少每90 天进行更换。 检测操作步 骤 1、参考配置操作 1. 在$jboss/server/$server/deploy/oracle-ds.xml配置文件中设置oracle 密 码机密 Encrypt
10、DBPassword 2. 在$jboss/server/$server/conf/login-config.xml配置文件中设置JNDI 加 密 -testDataSource 是连接池的名 称 apps - 用户 名 3fb2b2b29f74131a -加密后的密码 jboss.jca:service=LocalTxCM,name=testDataSource 2、补充操作说明 口令要求:长度至少8 位,并包括数字、小写字母、大写字母和特殊符号4 类中至少2 类。 基线符合性 判定依据 1、判定条件 检查 $jboss/server/$server/conf/login-config.xm
11、l配置文件中的帐号口令是 否符合口令复杂度要求。 2、检测操作 (1)人工检查配置文件中帐号口令是否符合; 备注 JBOSS 服务器安全配置基线 中国移动通信有限公司第 5 页 共 16 页 2.2.2 密码生存期 * 安全基线项 目名称 Jboss密码生存期安全基线要求项 安全基线编 号 SBL-Jboss-02-02-02 安全基线项 说明 对于采用静态口令认证技术的设备,应支持按天配置口令生存期功能,帐号 口令的生存期不长于90 天。 检测操作步 骤 1、参考配置操作 定期对管理Jbosss Web、 JMX 服务器的帐号口令进行修改,间隔不长于90 天。 基线符合性 判定依据 1、判定
12、条件 90 天后使用原帐号口令进行登陆尝试,登录不成功; 2、检测操作 使用超过90 天的帐号口令进行登录尝试; 备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。适用于 4.x、5.x、6.x 所有版本。 2.3 授权 2.3.1 用户权利指派 * 安全基线项 目名称 Jboss用户权利指派安全基线要求项 安全基线编 号 SBL-Jboss-02-03-01 安全基线项 说明 在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 检测操作步 骤 1、参考配置操作 编辑/server/default/config/login-config.xml配置文件,修改用户角色
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JBOSS 服务器 安全 配置 基线 要点
链接地址:https://www.31doc.com/p-5197270.html