基线检查策略
1、禁止特权管理帐号在多个用户间共享。
参考配置
描述
特权管理帐号在多个用户间共享,会引发很多安全问题,企业无法控制配置上的安全,不易定位安全事件责任人,同时特权帐号非法使用者还可抹去审计信息
(1) cd /opt/IBM/WebSphere
(2) vim $WAS_APP/config/cells/localhostCell01/fileRegistry.xml
(3)
1、在Group标识下,wim:cn表示组名,wim:members下表示用户,uid=后是用户名,可能存在多组多用户的情况
2、判断是否存在一个用户存在多个组的情况,如果存在,则违规2、不得在自动运行脚本、控制命令等地方出现Websphere明文口令,例如cron脚本
参考配置
(1)进入后台 $WAS_APP/properties/目录
(2)备份配置文件: cp soap.client.props soap.client.props.bak
(2)执行加密命令:sh $WAS_APP/../../bin/PropFilePasswordEncoder.sh soap.client.props com.ibm.SOAP.loginPassword3、WebSphere控制台安全
1、参考配置
配置违规情况:Cosnaming服务权限设置过大。
(1)执行命令:
find $WAS_APP/config -name naming-authz.xml| xargs cat |awk '/authorizations xmi|specialSubjects/ {print $0}'
(2) sed -i '/ALL_AUTHENTICATED/d' $WAS_APP/config/cells/localhostCell01/naming-authz.xml
sed -i '/rolebasedauthz/d' $WAS_APP/config/cells/localhostCell01/naming-authz.xml4、WebSphere控制目录权限
5、启用日志可以回溯事件进行检查或审计,日志详细信息级别如果配置不当,会缺少必要的审计信息
6、启用全局安全性
7、控制台会话超时不大于10分钟
8、sample例子程序会泄露系统敏感信息,存在较大的安全隐患
9、定义默认错误网页
10、禁止WebSphere列表显示文件
11、WebSphere目录列表限制
12、ebsphere更新必要的补丁
最后更新于
这有帮助吗?