您的当前位置：首页正文

JBOSS服务器安全配置基线要点

来源：小奈知识网

JBOSS服务器安全配置基线

版本 V2.0 创建版本控制信息更新日期 2012年4月更新人审批人备注：

1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

JBOSS服务器安全配置基线

第1章概述 ......................................................................................................................................... 1 1.1 1.2 1.3 1.4 1.5

目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1 实施 ......................................................................................................................................... 1 例外条款 ................................................................................................................................. 1

第2章帐号管理、认证授权 ............................................................................................................. 1 2.1

帐号 ......................................................................................................................................... 1

2.1.1 jmx-console 登录的用户名和密码管理 ............................................................................ 1 2.1.2 web-console 登录的用户名和密码管理 ........................................................................... 2 2.2

口令 ......................................................................................................................................... 3

密码复杂度 ..................................................................................................................... 3

2.2.2 密码生存期* ................................................................................................................... 5 2.3 授权 ......................................................................................................................................... 5 2.3.1 用户权利指派* ............................................................................................................... 5

第3章日志配置操作 ......................................................................................................................... 7 3.1

日志配置 ................................................................................................................................. 7

2.2.1

3.1.1 第4章 4.1

审核登录 ......................................................................................................................... 7

IP协议安全配置 ................................................................................................................ 8

IP协议 ..................................................................................................................................... 8

4.1.1 支持加密协议 ................................................................................................................. 8

第5章设备其他配置操作 ............................................................................................................... 10 5.1

安全管理 ............................................................................................................................... 10

5.1.1 5.1.2 5.1.3 5.1.4 定时登出 ....................................................................................................................... 10

更改默认端口* ............................................................................................................. 10 错误页面处理 ............................................................................................................... 11 目录列表访问限制 ....................................................................................................... 12

第6章评审与修订 ........................................................................................................................... 13

JBOSS服务器安全配置基线

第1章概述

1.1 目的

本文档旨在指导系统管理人员进行Jboss服务器的安全配置。

1.2 适用范围

本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本

4.x版本的Jboss服务器。

1.4 实施 1.5 例外条款

第2章帐号管理、认证授权

2.1 帐号

jmx-console 登录的用户名和密码管理

安全基线项目名称安全基线编号 jmx-console 登录的用户名和密码管理 SBL-Jboss-02-01-01 中国移动通信有限公司第 1 页共 16 页

JBOSS服务器安全配置基线

安全基线项说明检测操作步骤默认情况访问 http://ip:port/jmx-console 需要输入用户名和密码。设置用户名密码限制帐号,提高安全性。 1、参考配置操作（1）修改Jboss目录下 ${jboss}/server/${server}/deploy/jmx-console.war/WEB-INF/jboss-web.xml，去掉节点的注释修改jboss-web.xml同级目录下的web.xml文件，去掉节点的注释，在这里可以看到为登录配置了角色JBossAdmin （2）jmx-console的安全域和运行角色JBossAdmin都是在login-config.xml中配置，在Jboss的安装目录${jboss}/server/${server}/config下找到。在login-config.xml中查找jmx-console的application-policy可以看到登录的角色、用户等信息分别在${jboss}/server/${server}/config/props的 jmx-console-roles.properties和jmx-console-users.properties文件中配置 2、补充操作说明（1） jmx-console-users.properties文件中定义了一个用户名为admin，的用户。（2）jmx-console-roles.properties文件中默认为admin用户，定义了JBossAdmin和HttpInvoker这两个角色。基线符合性判定依据 1、检测操作登陆http://ip:port/jmx-console 不能正常访问 2、补充操作判定条件输入jmx-console-users.properties文件中定义的用户名和密码登陆正常备注

web-console 登录的用户名和密码管理

安全基线项目名称安全基线编号 web-console 登录的用户名和密码管理安全基线要求项 SBL-Jboss-02-01-02 中国移动通信有限公司第 2 页共 16 页

JBOSS服务器安全配置基线

安全基线项说明检测操作步骤不需要输入用户名和密码存在安全隐患。设置用户名密码限制帐号。 1、参考配置操作修改Jboss目录下 ${jboss}/server/${server}/deploy/management/console-mgr.sar/web-console.war/WEB-INF下jboss-web.xml文件，去掉节点的注释。修改中jboss-web.xml同目录下的web.xml文件，去掉节点的部分注释进行修改，修改的内容如下：修改server/default/conf下的login-config.xml文件 2、补充操作说明 1、web-console-users.properties文件中默认定义了一个用户名为admin，密码也为admin的用户。 2、web-console-roles.properties文件中默认为admin用户定义了JBossAdmin和HttpInvoker这两个角色。基线符合性判定依据 1、检测操作登陆 http://ip:port/web-console/ 不能访问页面 2、补充操作判定条件输入web-console-users.properties文件中定义的用户名和密码登陆正常备注

2.2 口令密码复杂度

安全基线项目名称安全基线编号安全基线项说明 Jboss密码复杂度安全基线要求项 SBL-Jboss-02-02-01 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口中国移动通信有限公司第 3 页共 16 页

JBOSS服务器安全配置基线

令。密码应至少每90天进行更换。检测操作步骤 1、参考配置操作 1. 在${jboss}/server/${server}/deploy/oracle-ds.xml配置文件中设置oracle密码机密 EncryptDBPassword 2. 在${jboss}/server/${server}/conf/login-config.xml配置文件中设置JNDI加密 --testDataSource 是连接池的名称 apps -- 用户名 3fb2b2b29f74131a --加密后的密码 jboss.jca:service=LocalTxCM,name=testDataSource 2、补充操作说明口令要求：长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。基线符合性判定依据 1、判定条件检查${jboss}/server/${server}/conf/login-config.xml配置文件中的帐号口令是否符合口令复杂度要求。 2、检测操作（1）人工检查配置文件中帐号口令是否符合；备注

中国移动通信有限公司第 4 页共 16 页

JBOSS服务器安全配置基线

密码生存期*

安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据 Jboss密码生存期安全基线要求项 SBL-Jboss-02-02-02 对于采用静态口令认证技术的设备，应支持按天配置口令生存期功能，帐号口令的生存期不长于90天。 1、参考配置操作定期对管理Jbosss Web、JMX 服务器的帐号口令进行修改，间隔不长于90天。 1、判定条件 90天后使用原帐号口令进行登陆尝试，登录不成功； 2、检测操作使用超过90天的帐号口令进行登录尝试；根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。适用于4.x、5.x、6.x所有版本。备注

2.3 授权用户权利指派*

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 Jboss用户权利指派安全基线要求项 SBL-Jboss-02-03-01 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 1、参考配置操作编辑/server/default/config/login-config.xml配置文件，修改用户角色权限 props/jmx-console-users.properties props/jmx-console-roles.properties 中国移动通信有限公司第 5 页共 16 页

JBOSS服务器安全配置基线

2、补充操作说明 jmx-console角色浏览jboss的部署管理信息。 Web-console角色进行监控基线符合性判定依据 1、判定条件输入web-console-users.properties文件中定义的用户名和密码登陆正常输入jmx-console-users.properties文件中定义的用户名和密码登陆正常 2、检测操作登陆 http://ip:port/web-console/ 访问页面正常登陆 http://ip:port/jmx-console/ 访问页面正常备注

中国移动通信有限公司第 6 页共 16 页

JBOSS服务器安全配置基线

第3章日志配置操作

3.1 日志配置审核登录

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 Jboss审核登录安全基线要求项 SBL-Jboss-03-01-01 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，使用的IP地址。 1、参考配置操作编辑${jboss}/server/${server}/conf/ log4j.xml配置文件， 2、补充操作说明 Threshold是个全局的过滤器，它将把低于所设置的level的信息过滤不显示出来优先级由高到低分为 OFF ,FATAL ,ERROR ,WARN ,INFO ,DEBUG ,ALL 参数都以%开始后面不同的参数代表不同的格式化信息（参数按字母表顺序列出）： %c 输出所属类的全名，可在修改为 %d{Num} ,Num类名输出的围 % 输出日志时间其格式为 %d{yyyy-MM-dd HH:mm:ss,SSS}，可指定格式如 %d{HH:mm:ss} %l 输出日志事件发生位置，包括类目名、发生线程，在代码中的行数 % 换行符 %m 输出代码指定信息，如info(“message”),输出message 中国移动通信有限公司第 7 页共 16 页

JBOSS服务器安全配置基线

%p 输出优先级，即 FATAL ,ERROR 等 %r 输出从启动到显示该log信息所耗费的毫秒数 %t 输出产生该日志事件的线程名基线符合性判定依据 1、判定条件查看logs目录中相关日志文件内容，记录完整 2、检测操作查看server.log中相关日志记录 3、补充说明备注

第4章 IP协议安全配置

4.1 IP协议支持加密协议

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 Jboss支持加密协议安全基线要求项 SBL-Jboss-04-01-01 对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。 1、参考配置操作 (1)使用JDK自带的keytool工具生成一个证书 JAVA_HOME/bin/keytool -genkey –alias tomcat –keyalg RSA -keystore /path/to/my/keystore (2)修改${jboss}/server/${server}/deploy/jbossweb-tomcat55.sar/conf/server.xml配置文件，更改为使用https方式，增加如下行： Connector classname=”org.apache.catalina.http.HttpConnector” port=”8443” minProcessors=”5” maxprocessors=”100” enableLookups=”true” acceptCount=”10” debug=”0” scheme=”https” secure=”true” > Factory classname=”org.apache.catalina.SSLServerSocketFactory” clientAuth=”false” keystoreFile=”/path/to/my/keystore” keystorePass=”runway” protocol=”TLS”/> /Connector> 其中keystorePass的值为生成keystore时输入的密码 (3)重新启动Jboss服务

第 8 页共 16 页

中国移动通信有限公司

JBOSS服务器安全配置基线

基线符合性1、判定条件判定依据使用https方式登陆Jboss服务器页面，登陆成功 2、检测操作使用https方式登陆Jboss服务器管理页面备注

中国移动通信有限公司第 9 页共 16 页

JBOSS服务器安全配置基线

第5章设备其他配置操作

5.1 安全管理定时登出

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 Jboss定时登出安全基线要求项 SBL-Jboss-05-01-01 对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。 1、参考配置操作编辑${jboss}/server/${server}/deploy/jbossweb-tomat55.sar/server.xml配置文件，修改为2000秒 1、判定条件 30 分自动登出。 2、检测操作登陆jboss默认页面，使用管理帐号登陆 3、补充说明基线符合性判定依据备注

更改默认端口*

安全基线项目名称安全基线编号安全基线项Jboss运行端口安全基线要求项 SBL-Jboss-05-01-02 更改tomcat服务器默认端口

第 10 页共 16 页

中国移动通信有限公司

JBOSS服务器安全配置基线

说明检测操作步骤 1、参考配置操作（1）修改${jboss}/server/${server}/deploy/jbossweb-tomat55.sar/server.xml配置文件，更改默认管理端口到8100 （2）重启JBOSS服务 2、补充操作说明 Jboss默认端口是8080,通常占用的端口是1098，1099，4444，4445，8080，8009，8083，8093 在windows系统中： 1098、1099、4444、4445、8083端口在/server/ehr_jsprd /conf/jboss-service.xml中 8080端口在/server/ ehr_jsprd /deploy/jboss-web.deployer/server.xml中 8093端口在/server/ ehr_jsprd /deploy/jms/uil2-service.xml中。基线符合性判定依据 1、判定条件使用8100端口登陆页面成功 2、检测操作登陆http://ip:port/ 备注

错误页面处理

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 Jboss错误页面安全基线要求项 SBL-Jboss-05-01-03 Jboss错误页面重定向 1、参考配置操作(1)查${jboss}/server/${server}deploy/jbossweb-tomcat55.sar/conf文件: index.html index.htm index.jsp 看中国移动通信有限公司第 11 页共 16 页

JBOSS服务器安全配置基线

基线符合性判定依据备注

1、判定条件目录列表访问限制

安全基线项目名称安全基线编号安全基线项说明检测操作步骤 Jboss目录列表安全基线要求项 SBL-Jboss-05-01-04 禁止Jboss列表显示文件 1、参考配置操作 (1) 编辑deploy/jbossweb-tomcat55.sar/conf 配置文件， listings true 把true改成false (2)重新启动Jboss服务 1、判定条件当WEB目录中没有默认首页如index.html,index.jsp等文件时，不会列出目录内容 2、检测操作基线符合性判定依据备注

中国移动通信有限公司第 12 页共 16 页

第6章评审与修订

中国移动通信有限公司 JBOSS服务器安全配置基线

第 13 页共 16 页

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文