Jboss7 基线检查策略

1、设置用户名密码限制帐号,提高安全性。

描述
默认情况访问 http://ip:port/jmx-console 需要输入用户名和密码。设置用户名密码限制帐号,提高安全性。

1、参考配置
（1）修改Jboss目录下${jboss}/server/${server}/deploy/jmx-console.war/WEB-INF/jboss-web.xml，去掉<security-domain>节点的注释
（2）修改jboss-web.xml同级目录下的web.xml文件，去掉<security-constraint>节点的注释，在这里可以看到为登录配置了角色JBossAdmin
（3）jmx-console的安全域和运行角色JBossAdmin都是在login-config.xml中配置，在Jboss的安装目录${jboss}/server/${server}/config下找到。在login-config.xml中查找jmx-console的application-policy可以看到登录的角色、用户等信息，分别在${jboss}/server/${server}/config/props的jmx-console-roles.properties和jmx-console-users.properties文件中配置。
2、补充操作说明
（1）jmx-console-users.properties文件中定义了一个用户名为admin，的用户。
（2）jmx-console-roles.properties文件中默认为admin用户，定义了JBossAdmin和HttpInvoker这两个角色。
（3）此基线对JBoss 7及7以上版本无效。

2、设置默认页面的账号密码。

1、参考配置
（1）修改Jboss目录下${jboss}/server/${server}/deploy/management/console-mgr.sar/web-console.war/WEB-INF下jboss-web.xml文件，去掉<security-domain>节点的注释。
（2）修改jboss-web.xml同目录下的web.xml文件，去掉<security-constraint>节点的部分注释
（3）修改server/default/conf下的login-config.xml文件，确保有以下内容：
    <application-policy　name　=　"web-console">
        <authentication>
        <login-module　code="org.jboss.security.auth.spi.UsersRolesLoginModule"   flag　=　"required">
            <module-option　name="usersProperties">web-console-users.properties</module-option>
            <module-option　name="rolesProperties">web-console-roles.properties</module-option
        </login-module>
        </authentication>
    </application-policy>
2、补充操作说明
（1）web-console-users.properties文件中默认定义了一个用户名为admin，密码也为admin的用户。
（2）web-console-roles.properties文件中默认为admin用户定义了JBossAdmin和HttpInvoker这两个角色。
（3）此基线对JBoss 7及7以上版本无效。

3、静态口令复杂度检查

1、参考配置
（1）根据Jboss运行模式执行如下操作：
    a）如果是standalone模式下运行的Jboss，查看${jboss}/standalone/configuration/目录下的两个文件：application-users.properties和mgmt-users.properties
    b）如果是domain模式下运行的Jboss，查看${jboss}/domain/configuration/目录下的两个文件：application-users.properties和mgmt-users.properties
2、补充操作说明
（1）口令要求：长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

4、静态口令生存期检查

1、参考配置
（1）根据Jboss运行模式执行如下操作：
    a）如果是standalone模式下运行的Jboss，查看${jboss}/standalone/configuration/目录下的两个文件：application-users.properties和mgmt-users.properties
    b）如果是domain模式下运行的Jboss，查看${jboss}/domain/configuration/目录下的两个文件：application-users.properties和mgmt-users.properties

5、应配置用户所需最小权限

1、参考配置
（1）根据Jboss运行模式执行如下操作：
    a）如果是standalone模式下运行的Jboss，修改${jboss}/standalone/configuration/目录下的两个文件：application-users.properties和mgmt-users.properties，将不必要的用户行注释或删除
    b）如果是domain模式下运行的Jboss，修改${jboss}/domain/configuration/目录下的两个文件：application-users.properties和mgmt-users.properties，将不必要的用户行注释或删除
2、补充操作说明
（1）针对JBoss7.0以上版本，mgmt-users.properties中的用户是管理用户，application-users.properties中的用户是应用用户

6、配置HTTPS加密协议

1、参考配置
（1）使用JDK自带的keytool工具生成一个证书
   进入%JAVA_HOME%/bin目录，执行命令：
   keytool -genkey -alias tomcat -keyalg RSA -keystore /path/to/my/keystore -validity 36500 
参数简要说明：“/path/to/my/keystore”是证书文件保存路径和证书文件名称；“-validity 36500”含义是证书有效期，36500表示100年，默认值是90天 
a）输入keystore密码 
b）"您的名字与姓氏是什么？"
c）"你的组织单位名称是什么？"等问题可按照需要填写也可不填写直接回车，在系统询问“正确吗？”时，对照输入信息，如果符合要求则使用键盘输入字母“y”，否则输入“n”重新填写上面的信息  
d）输入Jboss的主密码，这项较为重要，会在Jboss配置文件中使用，建议输入与keystore的密码一致，
完成上述输入后，直接回车生成配置文件  
（2）以standlone模式，参考如下操作
    修改配置文件$JBOSS_HOME/standalone/configuration/standlone.xml,注释下述内容：
    <connector name="http" protocol="HTTP/1.1" socket-binding="http" scheme="http"/>
    在注释后的该内容下添加如下内容：
    <connector name="https" protocol="HTTP/1.1" socket-binding="https" scheme="https" secure="true">
        <ssl name="https" password="changeit" certificate-key-file="/path/to/my/keystore"/>
    </connector>
其中password的值为生成keystore时输入的密码
（3）重新启动Jboss服务
2、补充操作说明
（1）domain模式操作与standlone操作方法相同，执行修改文件为$JBOSS_HOME/domain/configuration/domain.xml

7、应配置账户自动登出

1、参考配置
(1) 编辑deploy/jbossweb-tomcat55.sar/conf/web.xml配置文件，修改timout值不大于基线配置值（建议值为30分钟）， 
  <session-config>
    <session-timeout>30</session-timeout>
  </session-config>
 (2)重新启动Jboss服务
2、补充操作说明
（1）上述描述中的jbossweb-tomcat55.sar为示例应用，请根据实际应用修改

8、更改jboss服务器默认端口

1、参考配置
（1）根据Jboss运行模式执行如下操作：
    a）如果是standalone模式下运行的Jboss，修改$JBOOS_HOME/standalone/configuration/standalone.xml文件，将“<socket-binding name="http" port="8080"/>”中的8080修改为指定端口如8100
    b）如果是domain模式下运行的Jboss，修改$JBOOS_HOME/domain/configuration/domain.xml文件，将“<socket-binding name="http" port="8080"/>”中的8080修改为指定端口如8100
（2）修改完成后重启服务

9、Jboss错误页面重定向

1、参考配置
（1）编辑deploy/jbossweb-tomcat55.sar/conf/web.xml 配置文件，增加如下配置 
           <error-page>
                <error-code>404</error-code>
                <location>/error/404.html</location>
           </error-page>
2、补充操作说明
（1）上述描述中的jbossweb-tomcat55.sar为示例应用，请根据实际应用修改

10、禁止Jboss列表显示文件

1、参考配置
(1) 编辑deploy/jbossweb-tomcat55.sar/conf/web.xml 配置文件， 
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
 设置param-value标签值为false
 (2)重新启动Jboss服务
2、补充操作说明
（1）上述描述中的jbossweb-tomcat55.sar为示例应用，请根据实际应用修改

11、安全事件日志功能检查

描述
设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，使用的IP地址。

1、参考配置
（1）在web管理页面进入“Profile->Core->Logging->Handler->File”页面，添加一个“File Handler”，配置日志文件；
（2）进入“Profile->Core->Logging->Log Categories”页面，添加一个“Log Categories”，配置日志级别为ALL/DEBUG/INFO/WARN/ERROR之一，且配置其handlers为之前新增的
（3）或者进入“Profile->Core->Logging->Root Logger”页面，配置日志级别为ALL/DEBUG/INFO/WARN/ERROR之一，再配置其handlers为之前新增的