查看版本信息:
登录websphere管理平台首页就能看到版本信息
可以进入\usr\IBM\WebSphere\AppServer\bin 下执行./versionInfo.sh查看版本
一、身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
1. 对用户进行身份标识和鉴别
正常情况下,访问web界面需要用户名+口令:
webphere控制台可以通过修改配置文件做到无账号密码直接进入控制台操作。
需要找到websphere安全验证配置文件。该文件在webphere安装目录里,我们的目录/opt/IBM/WebSphere/AppServer/profiles/AppSrv01/config/cells/wwwNode01Cell,里面的文件:security.xml
在该文件的第二行里面的查找到
useDomainQualifiedUserNames="false" enabled="true"
修改为
useDomainQualifiedUserNames="false" enabled="false"
然后重启websphere服务器,之后访问控制台就可以无账号密码直接进入控制台操作了。
就可以直接点登录
开启验证:安全性→全局安全性→启用管理安全性
重启就完事了,然后就需要用户名口令了
配置文件默认会变回来
同理把这里√去掉就不用用户名+口令认证了
2. 身份标识唯一性
默认无法创建同名用户
3. 身份鉴别信息具有复杂度并定期更换
询问、验证当前用户口令是否具有复杂度,是否定期更换
空密码无法创建
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
1. 登录失败处理功能
系统自带的暂无
2. 操作超时
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
查看websphere管理控制台中登录方式,并且在访问/admin时自动转为https方式访问。
默认会跳转到https
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
现场核查。
二、访问控制
a) 应对登录的用户分配账户和权限
首先在这里添加用户:用户和组 →管理用户 →创建
默认情况下此处创建好的用户无法登录,需进行授权
选择对应角色,并将对应用户映射至该角色
然后就能看到对应用户、对应角色了。
b)应重命名或删除默认账户,修改默认账户的默认口令
无默认帐号,只要使用不常用的用户名即可。
如root、admin等为常用默认账户。
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在
查看是否有多余过期账户存在。
用户和组 →管理用户
d)应授予管理用户所需的最小权限,实现管理用户的权限分离
三权分立原则,系统管理员、安全管理员、审计管理员
WebSphere有默认相应的角色,可以设置审计员
审计员就看不到其他用户
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
由系统管理员负责,具体表现为用户→ 角色→应用系统对应模块访问权限
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
主体为用户,客体为应用系统对应模块
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
默认无。
三、安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
故障诊断 →日志和跟踪 →server1
可查看到对应日志
我们主要关注的还是err错误日志和access网页访问日志,确认对应日志的记录级别
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
默认符合,主要查看日志文件时间是否记录准确
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
查看对应日志文件权限情况
user组无写入、修改权限
Administrators组可完全控制
询问管理人员是否对日志进行备份,日志留存时间是否达到6个月以上
d)应对审计进程进行保护,防止未经授权的中断
审计进程与中间件主进程关联,无法单独中断审计进程,只要开启即符合
四、入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序
不适用。
b)应关闭不需要的系统服务、默认共享和高危端口
不适用。
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
一般配合服务器防火墙做端口限制来控制远程访问地址
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
不适用。
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
结合漏洞扫描、渗透测试报告确认是否存在相应漏洞,以及在发现漏洞后是否及时修补,有无更新测试记录
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
不适用。
五、数据完整性
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等
1. 鉴别数据、重要配置数据
https通信传输,符合
2. 重要审计数据
确认审计数据是否有传输,若无传输则不适用
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等
完整性默认不符合,需要有比对机制。
六、数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等
鉴别数据,https通信符合
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等
查看 fileRegistry.xml 文件,位于WebSphere配置文件目录的cells/<cellName>/nodes/<nodeName>/fileRegistry.xml 路径下
password字段加密存储
由于不是很常见,就简单记录了一些等保的查看点,深究的话这玩意应该还是要花费一点时间。