WebSphere Web服务器安全配置基线

WebSphere安全性配置手册1准备1问题描述在完成WebSphere安装之后，默认情况下是可以以任意用户登录控制台（如图1所示）进行服务器的各项配置（如图2所示），这会存在很大的安全隐患，因此需要对其进行安全配置，以保证WebSphere服务器能够稳定可靠的运行。

图 1图 22 全局安全性设置03图3是从web页面访问管理控制台的全局安全性所示的页面。

点击右侧的用户注册表定制，如下。

04以上可用于指定用于运行websphere Distributed Application Server的用户标识。

在这里的定制属性中建立用户和用户组的信息，具体见下图。

0607以上两图分别显示在点击新建后显示的页面，usersFile和groupsFile是websphere定义的用于指定包含用户和用户组信息的两个文件的名称，其值就是指相关文件所在位置，如usersFile定义的文件放在/Appserver6/properties/users.p，该文件由用户自己创建，其中按照格式添加用户和相关的用户组。

在这里：groupsFile放在/websphere/AppServer6/properties/groups.pusersFile放在/websphere/AppServer6/properties/users.p格式如下：# 5639-D57, 5630-A36, 5630-A37, 5724-D18# (C) COPYRIGHT International Business Machines Corp. 1997, 2004# All Rights Reserved * Licensed Materials - Property of IBM## Format:# name:passwd:uid:gids:display name# where name = userId/userName of the user# passwd = password of the user# uid = uniqueId of the user# gid = groupIds of the groups that the user belongs to# display name = a (optional) display name for the user.wasadmin:wasadmin:100:501:WebSphere Administratorgroups.p# 5639-D57, 5630-A36, 5630-A37, 5724-D18# (C) COPYRIGHT International Business Machines Corp. 1997, 2003 # All Rights Reserved * Licensed Materials - Property of IBM## Format:# name:gid:users:display name# where name = groupId of the group# gid = uniqueId of the group# users = list of all the userIds that the group contains# display name = a (optional) display name for the group. admins:501:wasadmin:Administrative groupoperators:678:jay,ted,dave:Operators groupusers:601:user1,user2:0809为了使在用户注册表中定制的用户名和组名等种种安全措施启用，必须在全局安全性的常规属性中勾取启用全局安全性，强制Java2安全性的选项定义比较严格，在实际使用中容易出现应用程序无法正常运行，建议不勾取。

配置服务器和应用环境注意：本章涉及的所有配置，最好都需要保存到Websphere的主配置文件中。

一旦配置发生了改变后，会出现提示保存到主配置的信息，请一定要点击“保存“钮，否则修改会丢失。

如下图所示：Server的建立Was Server需要联系系统管理员，由系统管理员建立。

建立完成后，由系统管理员通知Server的位置、名称及控制台端口。

相关配置如下：控制台用户登录：用户名：admin，密码：admin。

配置服务器参数需要虚拟机、web容器、线程等作设置，见下述章节描述。

配置虚拟机参数在虚拟机中增加参数，以支持中文环境，如中文的属性文件、中文日志等。

在虚拟机的定制属性中增加参数如下图所示，增加五个参数：将inforFlow和InforReport验证的包，添加到虚拟机的类路径中：如下图所示：注意：需要将verifycode.jar放到服务器的一个目录下，并将路径配置到上图所示的类路径框中;绝对路径，可以不用放在项目中。

ils项目放在了c:\verifycode\jdbc\verifycode.jar。

配置Java虚拟机的堆大小，最小512，最大为1024。

配置web容器参数在web容器的定制属性中增加一个属性：com.ibm.ws.webcontainer.invokefilterscompatibility，值为：true。

设置线程数调整服务器线程池中WebContainer线程的大小，将最大值调整到80，如下图所示：添加数据源添加数据源包括如下步骤：先配置环境变量，将DB2驱动程序目录配置好；然后，添加jdbc 驱动程序；再添加安全用户（用于连接数据库）；最后添加应用程序使用的数据源。

详细的过程，请参看一下子章节。

配置环境变量在/环境/WebSphere变量，将下图中表红颜色的变量的值配置上。

这两个变量代表DB2驱动程序包存放的目录。

注意：必须将DB2的驱动程序包放到配置的目录下，否则服务器会找不到该驱动程序。

Websphere部署与配置手册1WEBSPHERE安装1、WebSphere包括集群和单机两种方式，单机安装选择“./WAS/install.exe”;2、大部分安装过程都可按默认选择的，点“下一步”即可完成；主要需要修改的如下图，选择所需安装目录（没有特殊要求，按个人习惯选择）后，再下一步时选择“应用程序服务器”。

3、安装完成，建议进行第一次验证和启动，验证完毕建议将验证的所有配置拷贝下来；4、启动命令：D:\IBM\WebSphere\AppServer\bin>startServer.bat server1 （备注：默认为server1，根据安装具体情况修改）5、停止命令：D:\IBM\WebSphere\AppServer\bin>stopServer.bat server16、控制台：https://localhost:9043/ibm/console，控制台可以对WebSphere进行所有的控制和配置2WEBSPHERE配置2.1数据源配置1、配置oracle驱动程序路径●进入方式：环境——WebSphere变量，选择“ORACLE_JDBC_DRIVER_PATH”；●输入ojdbc14.jar所在的路径，如：D:\oracle\ora92\jdbc\lib；●确认后保存到主配置；●进入方式：资源——jdbc——jdbc提供程序●作用域选择为需要使用此jdbc的节点●点击“新建”按钮，步骤1按如下选择，之后下一步至完成即可；●注意：oracle9i及10g一般用的驱动是ojdbc14.jar；●确认后保存到主配置；●进入方式：资源——jdbc——数据源●作用域选择为需要使用此数据源的节点●点击“新建”按钮，步骤1按下图填写，“数据源名”按个人习惯填写，“JNDI名称”填入项目对应JNDI名；●步骤2：提供程序为先前配置的jdbc提供程序●步骤3：URL根据实际情况填写，例如：jdbc:oracle:thin:@199.3.8.252:1521:ora92；数据库的helper按默认选择即可；●确认完成后保存到主配置；4、配置JAAS-J2C认证数据●进入方式：资源——jdbc——数据源，点击上一步所配置的数据源进入配置页面●点击“JAAS －J2C 认证数据”进入●点击“新建”按钮，“别名”按个人习惯填写，“用户标识”为指定数据库的用户名，“密码”为指定用户的密码；●确认完成后保存到主配置；●重新执行本配置的第一步进入数据源配置页面，选择刚配置的认证名称，确定后保存到主配置；●在数据源列表勾选中所配置的数据源，点击“测试连接”，根据页面上方的提示结果判断连接是否正常；2.2JVM参数配置进入方式：服务器——应用服务器——server1——java管理和进程——进程定义——java虚拟机设置内容：初始堆大小：256，最大堆大小：512通用JVM 参数：-Ddefault.client.encoding=GBK -Dfile.encoding=GBKnguage=Zh -Duser.region=CN，这里主要是配置支持中文2.3安装应用程序●进入方式：应用程序——企业应用程序●默认上下文根”/”已有DefaultApplication在使用，与项目冲突，因此在安装系统程序前将系统自带的example全部卸载，勾选后点击“卸载”即可，然后保存到主配置；●点击“安装”，选择项目war包或ear包所在位置，“上下文根”根据具体项目设置填写，综合运维支撑系统为“/”；之后继续点“下一步”执行直到“步骤3: 将资源引用映射至资源”如下页面，选择“认证数据条目”，选择“JNDI”并勾选，点击“应用”，将将资源引用映射至资源；●继续执行“下一步”操作，直至“完成”，然后保存到主配置；2.4启动应用程序●进入企业应用程序，勾选指定项目，点击“启动”，看是否正常进入“已启动”状态；●进入连接：http://localhost:9080/，如能正常显示系统登陆界面，说明系统已部署成功。

WebSphere Web服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (5)2.1帐号 (5)2.1.1应用程序角色 (5)2.1.2控制台帐号安全 (5)2.1.3口令管理 (6)2.1.4密码复杂度 (6)2.2认证授权 (7)2.2.1控制台安全 (7)2.2.2全局安全性与Java2安全 (7)第3章日志配置操作 (9)3.1日志配置 (9)3.1.1日志与记录 (9)第4章备份容错 (10)4.1备份容错 (10)第5章设备其他配置操作 (11)5.1安全管理 (11)5.1.1控制台超时设置 (11)5.1.2示例程序删除 (11)5.1.3错误页面处理 (12)5.1.4文件访问限制 (12)5.1.5目录列出访问限制 (12)5.1.6控制目录权限 (13)5.1.7补丁管理* (13)第6章评审与修订 (15)第1章概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebSphere Web 服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的WebSphere Web服务器系统。

1.3 适用版本6.x版本的WebSphere Web服务器。

1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

WebSphere 5.0安装与配置一、综述1．IBM WebSphere Application Servers 5.0是基于J2EE 1.3标准的应用服务器中间件，WebSphere这套软件包包含四个版本，分别是：IBM WebSphere Application Server Express（简易版）IBM WebSphere Application Server base（基本版）IBM WebSphere Application Server Network Deployment（网络版）IBM WebSphere Application Server Enterprise（企业版）Express版供业务要求简单的客户或者开发测试使用，提供WebSphere的基本功能；base版是业务量比较小的客户使用，只能用于单机；ND版配合base，可以提供负载均衡功能，实现分别式计算；企业版提供企业级业务功能。

一般情况下，ND＋base可以完全满足用户的一般要求。

2．WebSphere 5.0现在支持的系统：Win、AIX、HP、Linux Intel、Linux S/390 zSeries、Linux iSeries pSeries、OS/400。

对于AIX系统，AIX 5.1推荐5100-5100-03 + APAR IY36884，AIX 5.2 + APAR IY44183。

3．体系结构以上是单机版websphere的体系结构图。

单机版就是一个节点（node），每个server 占用一个JVM，每个server包含三个容器，分别是web容器，EJB容器，JCA 容器，除此之外还包JNDI服务以及安全服务。

Web容器内嵌一个HTTP server，但效率不高，一般请求都是由外部HTTP server通过websphere plug-in转发给web 容器，静态内容都由外部http server来处理。

记得小时候有一次出去春游，带队的老师一直喜欢唠叨《方世玉》里李国邦的“安全第一”，那时候不如何看得起这个懦弱胆小、明哲保身的胖男人，“安全第一”的口头禅也成了我调侃的对象。

但是如今回想起他为信守承诺挺身而出并付出生命的镜头，却觉得他是电影里最贴近咱们的普通人。

跑题了那么多，为的是说明WebSphere中启用维护安全性的必要性——否则谁都可以进入你的控制台修改配置，就算开发阶段没有安全要求，但是WebSphere没有Weblogic的那种锁定模式，所以当两私人同时修改配置并保存时，往往会发生操作丢失和冲突的疑问。

所以接下来推荐针对控制台的安全性配置，当然最直接的就是在安装profile的时候就启用维护安全性。

在维护控制台-安全中启用“全局安全性”，并把“使用程序安全性”、“执行Java 2安全性”选项前的勾去掉——咱们今天只思虑控制台的安全性。

接下来对于“用户注册表”的挑选，有三种要领：最基本的——配置本地操作系统用户单击安全性> 全局安全性。

在“用户注册表”下，单击本地操作系统。

在服务器用户标识字段中输入有效用户名。

在服务器用户密码字段中输入用户密码。

可选：选中授权时忽略大小写选项以使WebSphere Application Server 在您运用缺省授权时能够执行不区分大小写的授权检验。

单击确定。

这里的用户标识和密码，是指操作系统的用户和密码。

就是说Windows环境下，你须要先在计算机维护的“本地用户和组”里配置一个帐号，类Unix环境须要先user add一个帐号并配置密码。

优点是基本明了，缺点则是引入了另一层不安全——你的系统维护员帐号公开出来了，原由见引用。

虽说通常都是运用WebSphere的安装运行帐号作为这里所配置的帐号（又有一个疑问，假如是域环境中搭建Windows故障转移集群，那么这个帐号还必须是域维护员帐号），WebSphere维护员原本就知晓这个帐号的，但往往开发人员也须要知晓控制台的登录密码执行使用揭晓，这就造成了权限控制的不便。

..系统安全配置技术规—Websphere版本V0.92013-06-03 日期文档编号文档发布.资料Word文档说明（一）变更信息（二）文档审核人2目录1. 适用围 (4)帐号管理与授权 ............................................................................................................................................ 42.2.1 【基本】控制台帐号安全 (4)2.2 【基本】帐号的口令安全 (4)2.3 【基本】为应用用户定义合适的角色 (5)2.4 【基本】控制台安全 (5)2.5 【基本】全局安全性与J2安全 ................................................................................................... 6 AVA3. 日志配置要求 . (6)3.1 【基本】开启应用日志记录 (6)4. 服务配置要求 (7)4.1 【基本】禁止列表显示文件 (7)4.2 【基本】禁止浏览列表显示目录 (7)4.3 【基本】删除示例程序 (8)4.4 【基本】控制台超时设置 (8)4.5 【基本】更新WS补丁 ........................................................................................................... 8 PHEREEB4.6 【基本】备份容错 .. (9)4.7 设置错误页面 (9)4.8 配置SSL访问 (9)4.9 控制目录权限 (11)5. 操作系统配置要求 (11)31.适用围如无特殊说明，本规所有配置项适用于IBM WebSphere Application Server (WAS) 6.x,7.x，8.x版本。