JBOSS服务器安全配置基线.docx

JBOSS服务器安全配置基线.docx

《JBOSS服务器安全配置基线.docx》由会员分享，可在线阅读，更多相关《JBOSS服务器安全配置基线.docx（16页珍藏版）》请在冰点文库上搜索。

JBOSS服务器安全配置基线

JBOSS服务器安全配置基线

中国移动通信有限公司管理信息系统部

2012年04月

版本

版本控制信息

更新日期

更新人

审批人

V2.0

创建

2012年4月

备注：

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

第1章概述

1.1目的

本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Jboss服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Jboss服务器的安全配置。

1.2适用范围

本配置标准的使用者包括：

服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：

支持中国移动集团公司管理信息系统部运行的Jboss服务器系统。

1.3适用版本

4.x版本的Jboss服务器。

1.4实施

本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款

欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章帐号管理、认证授权

2.1帐号

2.1.1jmx-console登录的用户名和密码管理

安全基线项目名称

jmx-console登录的用户名和密码管理

安全基线编号

SBL-Jboss-02-01-01

安全基线项说明

默认情况访问http:

//ip:

port/jmx-console需要输入用户名和密码。

设置用户名密码限制帐号,提高安全性。

检测操作步骤

1、参考配置操作

（1）修改Jboss目录下

${jboss}/server/${server}/deploy/jmx-console.war/WEB-INF/jboss-web.xml，去掉

节点的注释

修改jboss-web.xml同级目录下的web.xml文件，去掉节点的注释，在这里可以看到为登录配置了角色JBossAdmin

（2）jmx-console的安全域和运行角色JBossAdmin都是在login-config.xml中配置，在Jboss的安装目录${jboss}/server/${server}/config下找到。

在login-config.xml中查找jmx-console的application-policy可以看到登录的角色、用户等信息分别在${jboss}/server/${server}/config/props的

jmx-console-roles.properties和jmx-console-users.properties文件中配置

2、补充操作说明

（1）jmx-console-users.properties文件中定义了一个用户名为admin，的用户。

（2）jmx-console-roles.properties文件中默认为admin用户，定义了JBossAdmin和HttpInvoker这两个角色。

基线符合性判定依据

1、检测操作

登陆http:

//ip:

port/jmx-console不能正常访问

2、补充操作判定条件

输入jmx-console-users.properties文件中定义的用户名和密码登陆正常

备注

web-console登录的用户名和密码管理

安全基线项目名称

web-console登录的用户名和密码管理安全基线要求项

安全基线编号

SBL-Jboss-02-01-02

安全基线项说明

不需要输入用户名和密码存在安全隐患。

设置用户名密码限制帐号。

检测操作步骤

1、参考配置操作

修改Jboss目录下

${jboss}/server/${server}/deploy/management/console-mgr.sar/web-console.war/WEB-INF下jboss-web.xml文件，去掉节点的注释。

修改中jboss-web.xml同目录下的web.xml文件，去掉节点的部分注释进行修改，修改的内容如下：

修改server/default/conf下的login-config.xml文件

2、补充操作说明

1、web-console-users.properties文件中默认定义了一个用户名为admin，密码也为admin的用户。

2、web-console-roles.properties文件中默认为admin用户定义了JBossAdmin和HttpInvoker这两个角色。

基线符合性判定依据

1、检测操作

登陆http:

//ip:

port/web-console/不能访问页面

2、补充操作判定条件

输入web-console-users.properties文件中定义的用户名和密码登陆正常

备注

2.2口令

密码复杂度

安全基线项目名称

Jboss密码复杂度安全基线要求项

安全基线编号

SBL-Jboss-02-02-01

安全基线项说明

对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

检测操作步骤

1、参考配置操作

1.在${jboss}/server/${server}/deploy/oracle-ds.xml配置文件中设置oracle密码机密

EncryptDBPassword

2.在${jboss}/server/${server}/conf/login-config.xml配置文件中设置JNDI加密

  --testDataSource是连接池的名称

           apps  --用户名    

           3fb2b2b29f74131a--加密后的密码

          jboss.jca:

service=LocalTxCM,name=testDataSource

2、补充操作说明

口令要求：

长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

基线符合性判定依据

1、判定条件

检查${jboss}/server/${server}/conf/login-config.xml配置文件中的帐号口令是否符合移动通过配置口令复杂度要求。

2、检测操作

（1）人工检查配置文件中帐号口令是否符合；

备注

密码生存期*

安全基线项目名称

Jboss密码生存期安全基线要求项

安全基线编号

SBL-Jboss-02-02-02

安全基线项说明

对于采用静态口令认证技术的设备，应支持按天配置口令生存期功能，帐号口令的生存期不长于90天。

检测操作步骤

1、参考配置操作

定期对管理JbosssWeb、JMX服务器的帐号口令进行修改，间隔不长于90天。

基线符合性判定依据

1、判定条件

90天后使用原帐号口令进行登陆尝试，登录不成功；

2、检测操作

使用超过90天的帐号口令进行登录尝试；

备注

根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

适用于4.x、5.x、6.x所有版本。

2.3授权

用户权利指派*

安全基线项目名称

Jboss用户权利指派安全基线要求项

安全基线编号

SBL-Jboss-02-03-01

安全基线项说明

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

检测操作步骤

1、参考配置操作

编辑/server/default/config/login-config.xml配置文件，修改用户角色权限

            flag="required">

          props/jmx-console-users.properties

          props/jmx-console-roles.properties

2、补充操作说明

jmx-console角色浏览jboss的部署管理信息。

Web-console角色进行监控

基线符合性判定依据

1、判定条件

输入web-console-users.properties文件中定义的用户名和密码登陆正常

输入jmx-console-users.properties文件中定义的用户名和密码登陆正常

2、检测操作

登陆http:

//ip:

port/web-console/访问页面正常

登陆http:

//ip:

port/jmx-console/访问页面正常

备注

第3章日志配置操作

3.1日志配置

审核登录

安全基线项目名称

Jboss审核登录安全基线要求项

安全基线编号

SBL-Jboss-03-01-01

安全基线项说明

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，使用的IP地址。

检测操作步骤

1、参考配置操作

编辑${jboss}/server/${server}/conf/log4j.xml配置文件，

class="org.jboss.logging.appender.DailyRollingFileAppender">

2、补充操作说明

Threshold是个全局的过滤器，它将把低于所设置的level的信息过滤不显示出来

优先级由高到低分为  OFF,FATAL,ERROR,WARN,INFO,DEBUG,ALL

参数都以%开始后面不同的参数代表不同的格式化信息（参数按字母表顺序列出）：

%c输出所属类的全名，可在修改为%d{Num},Num类名输出的围  

%输出日志时间其格式为%d{yyyy-MM-ddHH:

mm:

ss,SSS}，可指定格式如%d{HH:

mm:

ss}

%l输出日志事件发生位置，包括类目名、发生线程，在代码中的行数

% 换行符

%m 输出代码指定信息，如info（“message”）,输出message

%p输出优先级，即FATAL,ERROR等

%r输出从启动到显示该log信息所耗费的毫秒数

%t输出产生该日志事件的线程名

基线符合性判定依据

1、判定条件

查看logs目录中相关日志文件内容，记录完整

2、检测操作

查看server.log中相关日志记录

3、补充说明

备注

第4章IP协议安全配置

4.1IP协议

支持加密协议

安全基线项目名称

Jboss支持加密协议安全基线要求项

安全基线编号

SBL-Jboss-04-01-01

安全基线项说明

对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。

检测操作步骤

1、参考配置操作

（1）使用JDK自带的keytool工具生成一个证书

JAVA_HOME/bin/keytool-genkey–aliastomcat–keyalgRSA

-keystore/path/to/my/keystore

（2）修改${jboss}/server/${server}/deploy/jbossweb-tomcat55.sar/conf/server.xml配置文件，更改为使用https方式，增加如下行：

Connectorclassname=”org.apache.catalina.http.HttpConnector”

port=”8443”minProcessors=”5”maxprocessors=”100”

enableLookups=”true”acceptCount=”10”debug=”0”

scheme=”https”secure=”true”>

Factoryclassname=”org.apache.catalina.SSLServerSocketFactory”

clientAuth=”false”

keystoreFile=”/path/to/my/keystore”keystorePass=”runway”

protocol=”TLS”/>

/Connector>

其中keystorePass的值为生成keystore时输入的密码

（3）重新启动Jboss服务

基线符合性判定依据

1、判定条件

使用https方式登陆Jboss服务器页面，登陆成功

2、检测操作

使用https方式登陆Jboss服务器管理页面

备注

第5章设备其他配置操作

5.1安全管理

定时登出

安全基线项目名称

Jboss定时登出安全基线要求项

安全基线编号

SBL-Jboss-05-01-01

安全基线项说明

对于具备字符交互界面的设备，应支持定时账户自动登出。

登出后用户需再次登录才能进入系统。

检测操作步骤

1、参考配置操作

编辑${jboss}/server/${server}/deploy/jbossweb-tomat55.sar/server.xml配置文件，修改为2000秒

maxThreads="250"strategy="ms"maxHttpHeaderSize="8192"

emptySessionPath="true"

enableLookups="false"redirectPort="8443"acceptCount="100"

connectionTimeout="1800"

disableUploadTimeout="true"URIEncoding="utf-8"/>

基线符合性判定依据

1、判定条件

30分自动登出。

2、检测操作

登陆jboss默认页面，使用管理帐号登陆

3、补充说明

备注

更改默认端口*

安全基线项目名称

Jboss运行端口安全基线要求项

安全基线编号

SBL-Jboss-05-01-02

安全基线项说明

更改tomcat服务器默认端口

检测操作步骤

1、参考配置操作

（1）修改${jboss}/server/${server}/deploy/jbossweb-tomat55.sar/server.xml配置文件，更改默认管理端口到8100

maxThreads="250"strategy="ms"maxHttpHeaderSize="8192"

emptySessionPath="true"

enableLookups="false"redirectPort="8443"acceptCount="100"

connectionTimeout="1800"

disableUploadTimeout="true"URIEncoding="utf-8"/>

（2）重启JBOSS服务

2、补充操作说明

Jboss默认端口是8080,通常占用的端口是1098，1099，4444，4445，8080，8009，8083，8093

在windows系统中：

1098、1099、4444、4445、8083端口在/server/ehr_jsprd/conf/jboss-service.xml中

8080端口在/server/ehr_jsprd/deploy/jboss-web.deployer/server.xml中

8093端口在/server/ehr_jsprd/deploy/jms/uil2-service.xml中。

基线符合性判定依据

1、判定条件

使用8100端口登陆页面成功

2、检测操作

登陆http:

//ip:

port/

备注

错误页面处理

安全基线项目名称

Jboss错误页面安全基线要求项

安全基线编号

SBL-Jboss-05-01-03

安全基线项说明

Jboss错误页面重定向

检测操作步骤

1、参考配置操作

（1）查看${jboss}/server/${server}deploy/jbossweb-tomcat55.sar/conf文件:

index.html

index.htm

index.jsp

基线符合性判定依据

1、判定条件

备注

目录列表访问限制

安全基线项目名称

Jboss目录列表安全基线要求项

安全基线编号

SBL-Jboss-05-01-04

安全基线项说明

禁止Jboss列表显示文件

检测操作步骤

1、参考配置操作

（1）编辑deploy/jbossweb-tomcat55.sar/conf配置文件，

listings

true

把true改成false

（2）重新启动Jboss服务

基线符合性判定依据

1、判定条件

当WEB目录中没有默认首页如index.html,index.jsp等文件时，不会列出目录内容

2、检测操作

备注

第6章评审与修订

本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。