WebSphere系统加固规范V0.1

3. 查看用户所属组 不同的管理任务使用不同的管理角色帐号，减少特权帐号的使用 以管理员身份打开管理控制台,执行： 1. 点击“系统管理”-->”控制台设置”-->“控制台用户” 2. 添加用户 实施步骤 3. 分配用户角色为monitor（监控员）、Configurator(配置员)、Operator（操作员）Administrator(管理员)之一 回退方案 判断依据 实施风险 重要等级 使用管理角色分配给用户合适的管理权限 中 ★★★ 备注 SHG-WebSphere-01-02-03

编号 名称 实施目的 SHG-WebSphere-01-02-03 去除脚本中口令 查看应用服务器是否未编码口令 在启用全局安全性后，如果在脚本中或在命令行使用如下命令 ? 停止应用服务器命令/bin/stopServer.bat 问题影响 -username -password ? wsadmin –user –password 由于管理员口令明文存储或ps –ef命令可查看密码，存在严重的安全隐患 查看$WAS_HOME/profiles//properties/soap.client.props系统当前状态 文件如下内容是否设置用户名和口令以及口令是否编码存储： 编码服务器口令 ? 去除脚本中口令 ? 编辑文件 实施步骤 $WAS_HOME/profiles//properties/soap.client.props ,设置 3. 使用以下命令编码com.ibm.SOAP.loginPassword property 值,检查输出结果并移走创建的备份文件: $WAS_HOME/bin/PropFilePasswordEncoder.sh soap.client.props com.ibm.SOAP.loginPassword 回退方案 回复soap.client.props到加固前状态 判断依据 实施风险 重要等级 备注 中 ★★★ 日志配置

SHG-WebSphere-02-01-01

编号 名称 实施目的 问题影响 SHG-WebSphere-02-01-01 启用日志和设置记录级别 查看是否启用日志以及记录级别 不启用日志就无法回溯事件进行检查或审计，日志详细信息级别如果配置不当，会缺少必要的审计信息 以管理员身份打开管理控制台,执行： 系统当前状态 1. 查看设置日志的输出属性： 在导航窗格中，单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面，单击日志记录和跟踪-->单击要配置的系统日志（诊断跟踪、 静态更改，单击”配置”选项卡,动态更改点击”运行时”选项卡。 2. 查看日志设置日志级别。 在导航窗格中，单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称。 -->在“故障诊断”下面，单击日志记录和跟踪,查看日志详细信息级别 1. 设置日志： 在导航窗格中，单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称-->在“故障诊断”下面，单击日志记录和跟踪-->单击要配置的系统日志（诊断跟踪、 静态更改，单击”配置”选项卡,动态更改点击”运行时”选项卡。 2. 设置记录级别。 在导航窗格中，单击服务器 > 应用程序服务器-->单击您要使用的服务器的名称。 在“故障诊断”下面，单击日志记录和跟踪,查看日志详细信息级别。 启用所有日志，并配置日志详细信息级别为*=info: SecurityManager=all: 实施步骤 SystemOut=all 回退方案