TongWeb服务器安全配置基线

中国移动通信CHINAMOBILETongWeb服务器安全配置基线中国移动通信有限公司管理信息系统部2012年04月版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。TOC\o"1-5"\h\zHYPERLINK\l"bookmark29"\o"CurrentDocument"第1章概述1HYPERLINK\l"bookmark32"\o"CurrentDocument"目的1适用范围1HYPERLINK\l"bookmark35"\o"CurrentDocument"适用版本1HYPERLINK\l"bookmark38"\o"CurrentDocument"实施1HYPERLINK\l"bookmark41"\o"CurrentDocument"例外条款1HYPERLINK\l"bookmark44"\o"CurrentDocument"第2章账号管理、认证授权2帐号2HYPERLINK\l"bookmark47"\o"CurrentDocument"应用帐号分配2.用户口令设置3.用户帐号删除3.认证授权4HYPERLINK\l"bookmark57"\o"CurrentDocument"控制台安全4.HYPERLINK\l"bookmark61"\o"CurrentDocument"第3章日志配置操作7HYPERLINK\l"bookmark64"\o"CurrentDocument"日志配置7日志与记录7.HYPERLINK\l"bookmark70"\o"CurrentDocument"第4章备份容错9HYPERLINK\l"bookmark73"\o"CurrentDocument"备份容错9HYPERLINK\l"bookmark76"\o"CurrentDocument"第5章IP安全配置10HYPERLINK\l"bookmark79"\o"CurrentDocument"IP通信安全协议10HYPERLINK\l"bookmark82"\o"CurrentDocument"第6章设备其他配置操作1212HYPERLINK\l"bookmark85"\o"CurrentDocument"禁止应用程序可显12端口设置*.3错误页面处理.4HYPERLINK\l"bookmark95"\o"CurrentDocument"第7章评审与修订16第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的TongWeb服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。1.2适用范I本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的TongWeb服务器系统。1.3适用版本5.x版本的TongWeb服务器。1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章账号管理、认证授权2.1帐号应用帐号分配安全基线项TongWeb应用帐号分配安全基线要求目名称安全基线编号SBL-TongWeb-02-01-01安全基线项应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通说明信使用的账号共享。检测操作步启动tongweb的控制台，选择列表中的安全域，点击管理用户，如图操作:hw&nalrcm:：'：:.三:一.:.％：'.?："«：上：‘1:.；:.：：..■：；.：■■:■■-眨三；..二：cm:：'：:："：：■：:.三:一.:.上：‘1r:cm:：'?:.;：:.■：:一:了："二：上：‘1w点击新建，建立用户账号，如图操作:•诉E罚if*古•京全域•。音理用户-。削建用户『睽配首长全服务-受空域--首理用户ITST,用广旧引夕i表bJJjrlYrtistongwab修改用户直接点击用户名，进行修改，如图:•¥..相有:域••魏用户闸户口现扪甚［命驴典血顷［iongwebFLwnslongweb基线符合性判定依据1、判定条件各账号都可以登录TongWeb服务器为正常。2、检测操作访问http://ip:8080/twns管理页面，进行TongWeb服务器配置找安全服务下的安全域即可。备注用户口令设置安全基线项目名称TongWeb用户口令设置安全基线要求项安全基线编号SBL-TongWeb-02-01-02安全基线项说明对于米用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤进行口令的修改或者添加，如图操作：潮亘王日件JT穹•『郭,:官理用尸.用凡「n-gl•曰「:勇床其』；=子r1L"1弓户名l.t-rr.-LN：101?.不M^IDlongwebuserB|且「.元］■'：!)伊基线符合性判定依据1、判定条件检查帐号口令是否符合移动通过配置口令复杂度要求。2、检测操作人工检查登录页面测试帐号口令是否符合；备注用户帐号删除安全基线项目名称TongWeb用户帐号删除安全基线要求项安全基线编SBL-TongWeb-02-01-032.2认证授权控制台安全TongWeb控制台安全基线要求项安全基线坝目名称安全基线编号SBL-TongWeb-02-02-01安全基线项说明限制登陆管理控制台的服务器，夕卜网用户访问管理控制台，进行非法操作检测操作步骤登陆管理控制台，“服务配置”“WEB容器”“虚拟主机”，如下图：服务配置"怔睹器聂H睥选择“admin”，如下的:!主名祥adminSEiWM.图：主机名$11口’口崩：11：Efla-^e^3{inngweb.hastName}允许访问的远程地址：具体的IP或正则表达式。本例中为正则表达式：10\.110\.111\.([1][9][3-9]|[2][0-5][0-9])，允许10.110.111.193-255网段的IP访问管理控制台基线符合性判定依据备注该设置需要重启TongWeb才能生效第3章日志配置操作3.1日志配置日志与记录安全基线项目名称安全基线编号安全基线项说明检测操作步骤TongWeb日志记录安全基线要求项SBL-TongWeb-03-01-01设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。TongWeb默认的访问日志是关闭了的，可以修改虚拟主机打开访问日志，访问日志中记录了客户端访问的本机IP、访问时间、访问的资源、请求使用的协议以及返回的状态码等内容，若发现有攻击现象可以打开访问日志，通过访问日志可以知道哪些IP访问了系统资源，操作如图：I服务配直5E游器-虚拟翊|军T:工屹乏申土择剧F域字称jcriin|<汨.、‘冬s眼心1主机名第-步：巨击制血S1cr^cb.rcc1N3mo|Sjtongwsb.hflsfr-Jame}test停ii基本届性虔。炷机电称座1炷机别名虔寸吐机状悉adninadmiri-listenerII访问日志升三IV]第二亍：联认疽id工•如果需要监竺m古，必访间日志曳件所在目录¥(ton^Bb.rontjilbg^acc可片日志■■呆F到文廿的Im闵样堂协1C缓段小〔单匡宇节）日心义廿打位置uu：yLqaSstb'.Iujhltplbstsner-^hltp-listener-1日志格式如图:"冼’二：二£出+0：二"<7忙二t叩二ii既〕□二,1：二：/T*'二空顷二:二:一花+0：二"：二’咒二tV—'山一上没""口，上"二79叩L".l『，膻■昭e汩却12山3:圳:3：枷叨rGEr/tW5/dajo™t/(li]Lt/la?DUtmCa]itainE[.j30/1.1"2C基线符合性判定依据1、判定条件查看logs目录中相关日志文件内容，记录完整2、检测操作查看localhost_access_log.2012-03-07.log中相关日志记录备注第4章备份容错4.1备份容错安全基线项目名称TongWeb备份容错安全基线要求项安全基线编号SBL-TongWeb-04-01-01安全基线项说明用户应有完善的应用服务器备份机制检测操作步骤某些操作如修改启动脚本或者配置文件twsn.xml，操作失误可能导致启动异常，需要对TongWeb的配置文件进行日常备份保护，保证应用系统的可用性.。如果损坏，必须重新配置应用，也需要备份。每周备份一次twns.xml文件，至少每月备份一次TongWeb全目录，生产环境配置更改前必须先备份。基线符合性判定依据任何系统的改变都必须有授权和纸介质保存的修改记录备注第5章IP协议安全配置5.1IP通信安全协议安全基线项目名称安全基线编号安全基线项说明检测操作步骤TongWeb通信安全协议安全基线要求项SBL-TongWeb-05-01-01对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。1服务配置“也■Iz序昏器“HIIP通道。仓腱HTTP通道第一步：在印有任房中通等1,,技室上土功1由-娘道厂点■击创建□基本属性1、启动tongweb，并创建https通道，端口为8445（根据实际情况创建），如图：2、修改tongweb的配置文件twn.xml，如图所示:^Ittual-servEr1】*金=":I如]:队三，h弟tK萄氏I''ht■二Ti北或e二%士二二-1北定旎r]ii=Jdi：i二"1二^http-acceaa-log如北吕日-1的-2如-吕访=地95"access-lag-urite-iticer7al=IF10accesa-loc^aao5sc-er.ij_=d=，1:j.l5=F7>蒐-专：雌kini通!觇j豆单^victual-secver)-智安•.腴-1忠心i…=Hrdefault-viriLTiaL-aerver=|ser7er^叫曲］±(1=吒1证”fattiil7=,,ii!Etrrid=,,https-li5teaer-te5t"port=ITBfl43"■-en0hled=,rtrijje!!tls-iollback-Eiiableii=,,tnLe,r/>3E-nio-d.irect-bytEb^ffer=alse"/>案二步：掘由也矿上加旷匕的通苴』替鼬adiiniP可口重新登录tongweb控制台，结果如图：hiij?■://LpeJ-X-jsI::H'l'lEFi-rni/iw^aF^LTi/iRMin..ji£瞥瑁拧出」慎t1|「•’•歪码』1.•「,冲-■•「.基线符合性判定依据1、判定条件使用https方式登陆TongWeb服务器页面，登陆成功2、检测操作使用https方式登陆TongWeb服务器管理页面ip：https：//ip:8445/twns备注第6章设备其他配置操作6.1安全管理禁止应用程序可显安全基线项目名称TongWeb控制台超时设置安全基线要求项安全基线编号SBL-TongWeb-06-01-01安全基线项说明可以避免访问应用时，暴露应用目录下有哪些文件。检测操作步为了防止如下图所示的显示应用目录的情况的发生，TongWeb默认为不显5F」：1CV：LU・IEIfcPEir2-4由质ifMrd?3D】ES：ZI：]4GIT■7：.：羊1~女.〕FTE.E!ifa24F土2S12D1:Z1:34GIT也ni-二ip].«•t24FabLQ3：K：Z1：34GITMrmd.jj.[.2j±Fdrth2QiiDi：m*errd^rvuo-.japL.2Ft-ir」4rumaD£：3：]：34errAL’rEfwsAjyit.»EkFibiki£]i34airFrLFebEHK-iSii^OITIi5；由h算HF&说i斜orr1”lida:Fm-卸耽OH如果希望显示，可进行如图操作：应用.U用三理•"洗应用骤示目录结构：箪T:在拆有做中,It挂应用管S中的作切n龄驻应用名称状思退休状患虚拟主机音座r|海］+—第毋•::.占f澜群I虚捉T.W理r府：〜I—幻:.十羽I。，4*“卜二条芝=.金页.让页巨用用性TOC\o"1-5"\h\z匚声：3：匚4雨部一欢应用目诚杳可显日］♦基三步；毓I录是南m-财是£滁W丘叫切［血irffi打云代.仁未-mEKLiW:wlL-I-,',、*:；附加类临部署描哼警g卿|.1.1匚千―FL.工说明：不需要重启tongweb。基线符合性判定依据1、判定条件勾选显示目录，有详细应用列表。2、检测操作按照操作指南显示操作。备注端口设置*安全基线项目名称TongWeb默认端口安全基线要求项安全基线编号SBL-TongWeb-06-01-02安全基线项说明更改TongWeb服务器默认管理控制台端口和访问端口检测操作步骤选择列表中的虚拟机，进行如图操作：|服那僵-怔睹器顶如王用LI第一步:在所有任爵中I邮盅腕：i.U主机名名棵:tin'r黄二：点血e员蹄狎"如N?m}lest虚拟主机名称seiver虚根主机引名|f|iang¥reb.hostNamej虚粮主机状态V迪造列指hltps-lislener-2adminlistenerhltp-listener#hnp-listener-l日志文件用ctngvreb.mtpicigsF钮「阳r.1口g匚诲变巾hLWNare}定制部署到该虚拟主机上的所有web应用的错误页面，每个web应用都可以在自己的web.xml里覆盖这个配置，属性值分为3个部分：code指定错误号，path指定错误页的绝对路径，reason指定错误原因。如code=404path=/存放error.jsp文件的目录/error.jspreason=MY-404-REASON。Mil代同矣切玲制号坊自定知血3定兴.二二•-•：•-自定攵错误］：（国安全域认正逅牡后不断两页缕存；-基线符合性判定依据1、判定条件指向指定错误页面2、检测操作URL地址栏中输入HYPERLINK"http://ip:8080/manager~~~"http://ip:8080/manager~~~备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。错误页面处理安全基线项目名称安全基线编号安全基线项说明检测操作步骤TongWeb错误页面安全基线要求项SBL-TongWeb-06-01-03TongWeb错误页面重定向选择列表中的虚拟机，进行如图操作:|恭湘嵯--WE日符器-点粮王矶|名祢;dm-IfiS：seruei:as::r'：i崖粮主机君称:zpzl虚拟至机别者|5(tangweb.hastName}http^listener-2通i£•列表Mmin-li供就。httplisten引日http-listener-1日志交件的位置Sftangweb.raai，l口gskeruELlog定制部署到该虚拟主机上的所有web应用的错误页面，每个web应用都可以在自己的web.xml里覆盖这个配置，属性值分为3个部分：code指定错误号，path指定错误页的绝对路径，reason指定错误原因。如code=404path=/存放error.jsp文件的目录/error.jspreason=MY-404-REASON。其他4匕土义口正正近日是白-豆君符于性慑专求正.t向芬莎.忒百遂存扣备际-此妇'琐.涂自定义Wye自定义Listener自定义错误页面安全域认证胃过后不拱行四页篷存|基线符合性1、判定条件判定依据指向指定错误页面2、检测操作URL地址栏中输入HYPERLINK"http://ip:8080/manager~~~"http://ip:8080/manager~~~备注第7章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。