JBOSS服务器安全配置基线.docVIP

.word可编辑.JBOSS服务器安全配置基线 . 专业.专注 . .word可编辑. JBOSS服务器安全配置基线 . 专业.专注 . JBOSS服务器安全配置基线 中国移动通信有限公司 管理信息系统部 2012年 04月  版本 版本控制信息 更新日期 更新人 审批人 V2.0 创建 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 . 专业.专注 . PAGE I 目 录 TOC \o 1-3 \h \z \u 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第2章 帐号管理、认证授权 2 2.1 帐号 2 2.1.1 jmx-console 登录的用户名和密码管理 2 2.1.2 web-console 登录的用户名和密码管理 3 2.2 口令 4 2.2.1 密码复杂度 4 2.2.2 密码生存期* 5 2.3 授权 5 2.3.1 用户权利指派* 5 第3章 日志配置操作 7 3.1 日志配置 7 3.1.1 审核登录 7 第4章 IP协议安全配置 8 4.1 IP协议 8 4.1.1 支持加密协议 8 第5章 设备其他配置操作 10 5.1 安全管理 10 5.1.1 定时登出 10 5.1.2 更改默认端口* 10 5.1.3 错误页面处理 11 5.1.4 目录列表访问限制 12 第6章 评审与修订 13 . 专业.专注 .中国移动通信有限公司 第 PAGE 13 页 共 NUMPAGES 16 页 概述 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Jboss服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Jboss服务器的安全配置。 适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的Jboss 服务器系统。 适用版本 4.x版本的Jboss服务器。 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。 帐号管理、认证授权 帐号 jmx-console 登录的用户名和密码管理 安全基线项目名称 jmx-console 登录的用户名和密码管理 安全基线编号 SBL-Jboss-02-01-01 安全基线项说明 默认情况访问 http://ip:port/jmx-console 需要输入用户名和密码。设置用户名密码限制帐号,提高安全性。 检测操作步骤 1、参考配置操作 （1）修改Jboss目录下 ${jboss}/server/${server}/deploy/jmx-console.war/WEB-INF/jboss-web.xml，去掉 security-domain节点的注释 修改jboss-web.xml同级目录下的web.xml文件，去掉security-constraint节点的注释，在这里可以看到为登录配置了角色JBossAdmin （2）jmx-console的安全域和运行角色JBossAdmin都是在login-config.xml中配置，在Jboss的安装目录${jboss}/server/${server}/config下找到。在login-config.xml中查找jmx-console的application-policy可以看到登录的角色、用户等信息分别在${jboss}/server/${server}/config/props的 perties和perties文件中配置 2、补充操作说明 （1） perties文件中定义了一个用户名为admin，的用户。 （2）perties文件中默认为admin用户，定义了JBossAdmin和HttpInvoker这两个角色。 基线符合性判定依据 1、检测操作 登陆 http://ip:port/jmx-console 不能正常访问 2、补充操作判定条件 输入perties文件中定义的用户名和密码登陆正常 备注