WebSphere-Web服务器安全配置基线

WebSphere安全性配置手册1准备1问题描述在完成WebSphere安装之后，默认情况下是可以以任意用户登录控制台（如图1所示）进行服务器的各项配置（如图2所示），这会存在很大的安全隐患，因此需要对其进行安全配置，以保证WebSphere服务器能够稳定可靠的运行。

图 1图 22 全局安全性设置03图3是从web页面访问管理控制台的全局安全性所示的页面。

点击右侧的用户注册表定制，如下。

04以上可用于指定用于运行websphere Distributed Application Server的用户标识。

在这里的定制属性中建立用户和用户组的信息，具体见下图。

0607以上两图分别显示在点击新建后显示的页面，usersFile和groupsFile是websphere定义的用于指定包含用户和用户组信息的两个文件的名称，其值就是指相关文件所在位置，如usersFile定义的文件放在/Appserver6/properties/users.p，该文件由用户自己创建，其中按照格式添加用户和相关的用户组。

在这里：groupsFile放在/websphere/AppServer6/properties/groups.pusersFile放在/websphere/AppServer6/properties/users.p格式如下：# 5639-D57, 5630-A36, 5630-A37, 5724-D18# (C) COPYRIGHT International Business Machines Corp. 1997, 2004# All Rights Reserved * Licensed Materials - Property of IBM## Format:# name:passwd:uid:gids:display name# where name = userId/userName of the user# passwd = password of the user# uid = uniqueId of the user# gid = groupIds of the groups that the user belongs to# display name = a (optional) display name for the user.wasadmin:wasadmin:100:501:WebSphere Administratorgroups.p# 5639-D57, 5630-A36, 5630-A37, 5724-D18# (C) COPYRIGHT International Business Machines Corp. 1997, 2003 # All Rights Reserved * Licensed Materials - Property of IBM## Format:# name:gid:users:display name# where name = groupId of the group# gid = uniqueId of the group# users = list of all the userIds that the group contains# display name = a (optional) display name for the group. admins:501:wasadmin:Administrative groupoperators:678:jay,ted,dave:Operators groupusers:601:user1,user2:0809为了使在用户注册表中定制的用户名和组名等种种安全措施启用，必须在全局安全性的常规属性中勾取启用全局安全性，强制Java2安全性的选项定义比较严格，在实际使用中容易出现应用程序无法正常运行，建议不勾取。

WebSphere Web服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (5)2.1帐号 (5)2.1.1应用程序角色 (5)2.1.2控制台帐号安全 (5)2.1.3口令管理 (6)2.1.4密码复杂度 (6)2.2认证授权 (7)2.2.1控制台安全 (7)2.2.2全局安全性与Java2安全 (7)第3章日志配置操作 (9)3.1日志配置 (9)3.1.1日志与记录 (9)第4章备份容错 (10)4.1备份容错 (10)第5章设备其他配置操作 (11)5.1安全管理 (11)5.1.1控制台超时设置 (11)5.1.2示例程序删除 (11)5.1.3错误页面处理 (12)5.1.4文件访问限制 (12)5.1.5目录列出访问限制 (12)5.1.6控制目录权限 (13)5.1.7补丁管理* (13)第6章评审与修订 (15)第1章概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebSphere Web 服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的WebSphere Web服务器系统。

1.3 适用版本6.x版本的WebSphere Web服务器。

1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

web服务器安全配置Web服务器安全配置简介Web服务器是托管和传输网站内容的核心组件。

为了确保网站的安全，正确的服务器安全配置是至关重要的。

本文将介绍一些重要的方法和步骤，以帮助您合理地配置和保护您的Web服务器。

1. 更新服务器软件和操作系统保持服务器软件和操作系统的最新版本非常重要。

这样可以确保您的服务器是基于最新安全补丁和修复程序运行的，以减少黑客和恶意软件的攻击风险。

2. 去除默认配置大多数Web服务器都有默认的配置文件和设置。

黑客经常利用这些默认配置的弱点，因此应该定制和修改这些配置。

将默认的管理员账户名称和密码更改为强密码，并禁用不必要的服务和插件。

3. 使用安全的传输协议为了保护Web服务器和用户之间的数据传输，应该始终使用安全的传输协议，如HTTPS。

HTTPS通过使用SSL/TLS加密协议来确保数据的机密性和完整性，防止数据在传输过程中被黑客窃取或篡改。

4. 创建强大的访问控制使用防火墙和访问控制列表（ACL）来限制对服务器的访问。

只允许必要的IP地址访问您的服务器，并阻止来自已知恶意IP地址的访问。

使用强大的密码策略来保护登录凭证，并定期更改密码。

5. 防御举措采取一些额外的防御措施，例如使用Web应用程序防火墙（WAF）来检测和阻止恶意的HTTP请求。

WAF可以识别和封锁潜在的攻击，如跨站点脚本攻击（XSS）和SQL注入攻击。

6. 安全审计和监控定期进行安全审计和监控是保持服务器安全的关键。

通过监控服务器访问日志和相关指标，可以及时发现潜在的安全问题。

使用入侵检测系统（IDS）和入侵防御系统（IPS）来检测和阻止未经授权的访问和活动。

7. 数据备份和恢复计划及时备份服务器上的所有数据，并设置定期的备份计划。

这样，在服务器遭受攻击或数据丢失时，可以及时恢复数据并最小化损失。

8. 网络分割将Web服务器与其他敏感数据和系统隔离开来，建立网络分割可以减少攻击面，确保一次攻击不会导致整个网络或系统的崩溃。

WebSphere Web服务器安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (4)2.1帐号 (4)2.1.1应用程序角色 (4)2.1.2控制台帐号安全 (5)2.1.3口令管理 (5)2.1.4密码复杂度 (6)2.2认证授权 (7)2.2.1控制台安全 (7)2.2.2全局安全性与Java2安全 (7)第3章日志配置操作 (9)3.1日志配置 (9)3.1.1日志与记录 (9)第4章备份容错 (10)4.1备份容错 (10)第5章设备其他配置操作 (11)5.1安全管理 (11)5.1.1控制台超时设置 (11)5.1.2示例程序删除 (11)5.1.3错误页面处理 (12)5.1.4文件访问限制 (12)5.1.5目录列出访问限制 (12)5.1.6控制目录权限 (13)5.1.7补丁管理* (13)第6章评审与修订 (15)第1章概述1.1 目的本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本6.x版本的WebSphere Web服务器。

1.4 实施1.5 例外条款第2章帐号管理、认证授权2.1 帐号应用程序角色控制台帐号安全口令管理密码复杂度2.2 认证授权控制台安全全局安全性与Java2安全第3章日志配置操作3.1 日志配置日志与记录第4章备份容错4.1 备份容错第5章设备其他配置操作5.1 安全管理控制台超时设置示例程序删除错误页面处理文件访问限制目录列出访问限制控制目录权限补丁管理*第6章评审与修订。

WebSphere服务器安装和配置一、WebSphere服务器安装1）运行IBM WebSphere 5.1中Install.exe安装2）进入安装界面。

3）点击“确定”。

接着点击“下一步”，选择接受4）点击“下一步”。

5）点击“下一步”，选择安装的目录。

6）点击“下一步”。

无需对节点名和IP地址进行改动，安装程序默认提供数据。

7）点击“下一步”，输入用户标识和密码。

也就是你系统登陆时的用户名和密码。

8）点击“下一步”，会出现如上的界面，可能时间会比较长，请耐心等待。

出现“正在安装”的界面出现“正在安装”插件。

安装完后的界面如下：9）点击“下一步”，安装完成。

二、WebSphere服务器的配置成功安装好WebSphere服务器后，该服务器的启动图标如图所示点击“第一步”，出现如下图示。

等待出现下图：启动服务器，当出现下图时，表示服务器启动成功。

点击面板中的“管理控制台”进行服务器的配置设置。

将出现下图：输入系统管理员标识“admin”确定，默认定确。

打开服务器界面后，我们将对服务器进行设置。

一、配置变量在控制台左边的树形菜单中，选择环境→管理WEBSPHERE变量→ORACLE_JDBC_DRIVER_PATH, 在“值”的文本框中输入本机的驱动程序的路径，例如D:\WebSphere\lib或D:\oracle\ora92\bin\jdbc\lib确定，如下图。

二、定义安全性在控制台左边的树形菜单中，选择安全性→JAAS配置→J2C认证数据→新建，分别输入各项值，确定。

例如：别名:sy用户标示：test_sy密码：0000描述：连接ORACLE数据库的用户,如下图：三、配置数据源在控制台左边的树形菜单中，选择a、资源---〉JDBC提供程序---〉新建，在下拉菜单中选择ORACLE JDBC THIN DRIVER，“确定”，转到下一个页面，再次“确定”，在列表中点击刚才定义的ORACLE JDBC THIN DRIVER,选择“数据源”，新建，进入下一步操作，填入各项值，确定。

记得小时候有一次出去春游，带队的老师一直喜欢唠叨《方世玉》里李国邦的“安全第一”，那时候不如何看得起这个懦弱胆小、明哲保身的胖男人，“安全第一”的口头禅也成了我调侃的对象。

但是如今回想起他为信守承诺挺身而出并付出生命的镜头，却觉得他是电影里最贴近咱们的普通人。

跑题了那么多，为的是说明WebSphere中启用维护安全性的必要性——否则谁都可以进入你的控制台修改配置，就算开发阶段没有安全要求，但是WebSphere没有Weblogic的那种锁定模式，所以当两私人同时修改配置并保存时，往往会发生操作丢失和冲突的疑问。

所以接下来推荐针对控制台的安全性配置，当然最直接的就是在安装profile的时候就启用维护安全性。

在维护控制台-安全中启用“全局安全性”，并把“使用程序安全性”、“执行Java 2安全性”选项前的勾去掉——咱们今天只思虑控制台的安全性。

接下来对于“用户注册表”的挑选，有三种要领：最基本的——配置本地操作系统用户单击安全性> 全局安全性。

在“用户注册表”下，单击本地操作系统。

在服务器用户标识字段中输入有效用户名。

在服务器用户密码字段中输入用户密码。

可选：选中授权时忽略大小写选项以使WebSphere Application Server 在您运用缺省授权时能够执行不区分大小写的授权检验。

单击确定。

这里的用户标识和密码，是指操作系统的用户和密码。

就是说Windows环境下，你须要先在计算机维护的“本地用户和组”里配置一个帐号，类Unix环境须要先user add一个帐号并配置密码。

优点是基本明了，缺点则是引入了另一层不安全——你的系统维护员帐号公开出来了，原由见引用。

虽说通常都是运用WebSphere的安装运行帐号作为这里所配置的帐号（又有一个疑问，假如是域环境中搭建Windows故障转移集群，那么这个帐号还必须是域维护员帐号），WebSphere维护员原本就知晓这个帐号的，但往往开发人员也须要知晓控制台的登录密码执行使用揭晓，这就造成了权限控制的不便。

..系统安全配置技术规—Websphere版本V0.92013-06-03 日期文档编号文档发布.资料Word文档说明（一）变更信息（二）文档审核人2目录1. 适用围 (4)帐号管理与授权 ............................................................................................................................................ 42.2.1 【基本】控制台帐号安全 (4)2.2 【基本】帐号的口令安全 (4)2.3 【基本】为应用用户定义合适的角色 (5)2.4 【基本】控制台安全 (5)2.5 【基本】全局安全性与J2安全 ................................................................................................... 6 AVA3. 日志配置要求 . (6)3.1 【基本】开启应用日志记录 (6)4. 服务配置要求 (7)4.1 【基本】禁止列表显示文件 (7)4.2 【基本】禁止浏览列表显示目录 (7)4.3 【基本】删除示例程序 (8)4.4 【基本】控制台超时设置 (8)4.5 【基本】更新WS补丁 ........................................................................................................... 8 PHEREEB4.6 【基本】备份容错 .. (9)4.7 设置错误页面 (9)4.8 配置SSL访问 (9)4.9 控制目录权限 (11)5. 操作系统配置要求 (11)31.适用围如无特殊说明，本规所有配置项适用于IBM WebSphere Application Server (WAS) 6.x,7.x，8.x版本。