1、JBOSS服务器安全配置基线JBOSS服务器安全配置基线版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注:1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。目 录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章帐号管理、认证授权22.1帐号22.1.1jmx-console 登录的用户名和密码管理22.1.2web-console 登录的用户名和密码管理32.2口令42.2.1密码复杂度42.2.2密码生存期*52.3授权52.3.1用户权利指派*5第3章日志配置操作73.1日志配置73.1.1审核登录7第4章IP协议安全配置84.1IP协议84.1.1支持加密协议8第5章设备其他配置操作105.1安全管理105.1.1定时登出105.1.2更改默认端口*105.1.3错误页面处理115.1.4目录列表访问限制12第6章评审与修订13I第1章 概述1.1 目的本文档旨在指导系统管理人员进行Jboss服务器的安全配置。1.2 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
2、1.3 适用版本4.x版本的Jboss服务器。1.4 实施1.5 例外条款第2章 帐号管理、认证授权2.1 帐号2.1.1 jmx-console 登录的用户名和密码管理安全基线项目名称jmx-console 登录的用户名和密码管理安全基线编号SBL-Jboss-02-01-01 安全基线项说明 默认情况访问 http:/ip:port/jmx-console 需要输入用户名和密码。设置用户名密码限制帐号,提高安全性。检测操作步骤1、参考配置操作(1)修改Jboss目录下$jboss/server/$server/deploy/jmx-console.war/WEB-INF/jboss-web.xml,去掉节点的注释修改jboss-web.xml同级目录下的web.xml文件,去掉节点的注释,在这里可以看到为登录配置了角色JBossAdmin (2)jmx-console的安全域和运行角色JBossAdmin都是在login-config.xml中配置,在Jboss的安装目录$jboss/server/$server/config下找到。在login-config.xml中查找jmx-
3、console的application-policy可以看到登录的角色、用户等信息分别在$jboss/server/$server/config/props的jmx-console-roles.properties和jmx-console-users.properties文件中配置2、补充操作说明(1) jmx-console-users.properties文件中定义了一个用户名为admin,的用户。(2)jmx-console-roles.properties文件中默认为admin用户,定义了JBossAdmin和HttpInvoker这两个角色。基线符合性判定依据1、检测操作登陆http:/ip:port/jmx-console 不能正常访问2、补充操作判定条件输入jmx-console-users.properties文件中定义的用户名和密码登陆正常备注2.1.2 web-console 登录的用户名和密码管理安全基线项目名称web-console 登录的用户名和密码管理安全基线要求项安全基线编号SBL-Jboss-02-01-02 安全基线项说明 不需要输入用户名和密码存在安
4、全隐患。设置用户名密码限制帐号。检测操作步骤1、参考配置操作修改Jboss目录下$jboss/server/$server/deploy/management/console-mgr.sar/web-console.war/WEB-INF下jboss-web.xml文件,去掉节点的注释。修改中jboss-web.xml同目录下的web.xml文件,去掉节点的部分注释进行修改,修改的内容如下:修改server/default/conf下的login-config.xml文件2、补充操作说明1、web-console-users.properties文件中默认定义了一个用户名为admin,密码也为admin的用户。2、web-console-roles.properties文件中默认为admin用户定义了JBossAdmin和HttpInvoker这两个角色。基线符合性判定依据1、检测操作登陆 http:/ip:port/web-console/ 不能访问页面2、补充操作判定条件输入web-console-users.properties文件中定义的用户名和密码登陆正常备注2.2 口令2.
5、2.1 密码复杂度安全基线项目名称Jboss密码复杂度安全基线要求项安全基线编号SBL-Jboss-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作1. 在$jboss/server/$server/deploy/oracle-ds.xml配置文件中设置oracle密码机密EncryptDBPassword2. 在$jboss/server/$server/conf/login-config.xml配置文件中设置JNDI加密 -testDataSource 是连接池的名称 apps - 用户名 3fb2b2b29f74131a -加密后的密码 jboss.jca:service=LocalTxCM,name=testDataSource 2、补充操作说明口令要求:长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。基线符合性判定依据1、判定条件检查$jboss/server/$server/c
6、onf/login-config.xml配置文件中的帐号口令是否符合口令复杂度要求。2、检测操作(1)人工检查配置文件中帐号口令是否符合;备注2.2.2 密码生存期*安全基线项目名称Jboss密码生存期安全基线要求项安全基线编号SBL-Jboss-02-02-02 安全基线项说明 对于采用静态口令认证技术的设备,应支持按天配置口令生存期功能,帐号口令的生存期不长于90天。检测操作步骤1、参考配置操作定期对管理Jbosss Web、JMX 服务器的帐号口令进行修改,间隔不长于90天。基线符合性判定依据1、判定条件90天后使用原帐号口令进行登陆尝试,登录不成功;2、检测操作使用超过90天的帐号口令进行登录尝试;备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。适用于4.x、5.x、6.x所有版本。2.3 授权2.3.1 用户权利指派*安全基线项目名称Jboss用户权利指派安全基线要求项安全基线编号SBL-Jboss-02-03-01 安全基线项说明 在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。检测操作步骤1、参考配置操作编辑/server/default/config/login-config.xml配置文件,修改用户角色权限 props/jmx-console-users.properties props/jmx-console-roles.properties 2、补充操作说明jmx-console角色浏览jboss的部署管理信息。Web-console角色进行监控基线符合性判定依据1、判定条件输入web-console-users.properties文件中定义的用户名和密码登陆正常输入jmx-console-users.properties文件中定义的用户名和密码登陆正常2、检测操作登陆 http:/ip:port/web-console/ 访问页面正常登陆 http:/ip:port/jmx-console/ 访问页面正常备注第3章 日志配置操作3.1 日志配置3.1.1 审核登录安全基线项目名称Jboss审核登录安全基线要求项安全基线编号SBL-Jboss-03-01-01 安全基线项说明 设备应配
《JBOSS服务器安全配置基线讲解》由会员工****分享,可在线阅读,更多相关《JBOSS服务器安全配置基线讲解》请在金锄头文库上搜索。
