Jboss安全配置基线.docxVIP

Jboss安全加固基线文档

Jboss中间件安全加固基线

Jboss

目录

TOC\o1-2\h\z\u9248593351.概述 2

6242063591.1适用范围 2

5786601181.2规范依据 2

17346496101.3实施策略 2

2.安全配置基线标准 4

19387610062.1身份鉴别 4

9868519112.2安全审计 5

10038623962.3资源控制 6

12837587402.4其它安全项 8

概述

适用范围

本配置基线适用于Jboss系列中间件，主要涉及Jboss系列中间件安全配置方面的基本要求，用于指导安全例行工作、新系统入网安全检查等场合。

规范依据

根据目前Windows操作系统的安全现状，综合参考安全运维专家经验，结合相关规范性文件指引，制定适合的基线配置规范。

规范性引用文件：

GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》

GB/T28453-2012《信息安全技术信息系统安全管理评估要求》

GB/T25063-2010《信息安全技术服务器安全测评要求》

GB/Z24364-2009《信息安全技术信息安全风险管理指南》

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

GB/T20270-2006《信息安全技术网络基础安全技术要求》

GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

GB/T20269-2006《信息安全技术信息系统安全管理要求》

YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求_中间件》

实施策略

结合网络和信息系统建设情况，考虑安全配置项影响的范围，结合以往工作经验，提出如下安全项目实施策略：

基础项：实施安全基线能够明显提升安全水平，实施风险小，可操作性强。

建议项：实施安全基线能够提升一定安全水平，具有一定风险，可操作性较强。

序号

配置类别

安全基线项目名称

实施策略

1

身份鉴别

设置特定账号运行服务

基础项

2

身份鉴别

关闭管理控制台远程访问

基础项

3

安全审计

配置日志记录

基础项

4

资源控制

禁止目录列表

基础项

5

资源控制

自定义错误页面

基础项

6

资源控制

禁止Remoting接口远程访问

基础项

7

其它安全项

安全补丁

建议项

安全配置基线标准

身份鉴别

设置特定账号运行服务

基线名称

设置特定账号运行服务（基础项）

基线编号

Tophant-Jboss-1

基线项说明

创建并使用Jboss用户运行服务

配置方法

配置操作：

Unix系统：

(1)创建jboss组：groupaddJboss

(2)创建jboss用户并加入jboss组：useraddJboss–gJboss

(3)以Jboss身份启动服务

Windows系统：

(1)新建一个Jboss用户

(2)设置Jboss用户对Jboss_home的相关权限

(3)在服务管理器(service.msc)中找到Jboss服务，右键选择属性，设置登录身份为Jboss用户

检查方法

查看/etc/shoadow,是否存在Jboss用户

备注

关闭管理控制台远程访问

基线名称

关闭管理控制台远程访问（建议项）

基线编号

Tophant-Jboss-2

基线项说明

加固管理控制台，设定仅限本地访问

配置方法

检查配置文件

在standalone/configuration/standalone-full.xml文件中，找到如下行：

检查socket-binding名称为management-native、management-http、management-https的是否包含interface=”management”属性;

检查jboss.bind.address.management的接口是否对应。

检查方法

参考配置方法进行检查

备注

安全审计

配置日志记录

基线名称

配置日志记录（基础项）

安全编号

Tophant-Jboss-3

基线项说明

应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

配置方法

如果Jboss前端有Apache，Apache可以记录访问日志。如果Jboss独立运行，可以开启Jboss访问日志记录功能。

修改配置文件

在virtual-server标签内加入设置标签access-log/，如下图：

重启JBoss

重启后建议到standalone/log目录下检查是