等保2.0测评 — WebSphere 中间件

news2024/11/25 18:58:40

查看版本信息

登录websphere管理平台首页就能看到版本信息

图片

图片

可以进入\usr\IBM\WebSphere\AppServer\bin 下执行./versionInfo.sh查看版本

图片

图片

一、身份鉴别

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换

1. 对用户进行身份标识和鉴别

正常情况下,访问web界面需要用户名+口令:

图片

webphere控制台可以通过修改配置文件做到无账号密码直接进入控制台操作。

需要找到websphere安全验证配置文件。该文件在webphere安装目录里,我们的目录/opt/IBM/WebSphere/AppServer/profiles/AppSrv01/config/cells/wwwNode01Cell,里面的文件:security.xml

在该文件的第二行里面的查找到

useDomainQualifiedUserNames="false" enabled="true"

修改为

useDomainQualifiedUserNames="false" enabled="false"

然后重启websphere服务器,之后访问控制台就可以无账号密码直接进入控制台操作了。

图片

就可以直接点登录

图片

图片

开启验证:安全性→全局安全性→启用管理安全性

图片

图片

重启就完事了,然后就需要用户名口令了

配置文件默认会变回来

图片

同理把这里√去掉就不用用户名+口令认证了

图片

2. 身份标识唯一性

默认无法创建同名用户

图片

3. 身份鉴别信息具有复杂度并定期更换

询问、验证当前用户口令是否具有复杂度,是否定期更换

空密码无法创建

图片

图片

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

1. 登录失败处理功能

系统自带的暂无

2. 操作超时

图片

图片

图片

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听

查看websphere管理控制台中登录方式,并且在访问/admin时自动转为https方式访问。

图片

默认会跳转到https

图片

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现

现场核查。

二、访问控制

a) 应对登录的用户分配账户和权限

首先在这里添加用户:用户和组 →管理用户 →创建

图片

默认情况下此处创建好的用户无法登录,需进行授权

图片

选择对应角色,并将对应用户映射至该角色

图片

然后就能看到对应用户、对应角色了。

图片

b)应重命名或删除默认账户,修改默认账户的默认口令

无默认帐号,只要使用不常用的用户名即可。

如root、admin等为常用默认账户。

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在

查看是否有多余过期账户存在。

用户和组 →管理用户

图片

d)应授予管理用户所需的最小权限,实现管理用户的权限分离

三权分立原则,系统管理员、安全管理员、审计管理员

WebSphere有默认相应的角色,可以设置审计员

图片

审计员就看不到其他用户

图片

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则

由系统管理员负责,具体表现为用户→ 角色→应用系统对应模块访问权限

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级

主体为用户,客体为应用系统对应模块

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问

默认无。

三、安全审计

a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

故障诊断 →日志和跟踪 →server1 

图片

可查看到对应日志

图片

我们主要关注的还是err错误日志和access网页访问日志,确认对应日志的记录级别

图片

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

默认符合,主要查看日志文件时间是否记录准确

图片

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等

查看对应日志文件权限情况

图片

user组无写入、修改权限

图片

Administrators组可完全控制

图片

询问管理人员是否对日志进行备份,日志留存时间是否达到6个月以上

d)应对审计进程进行保护,防止未经授权的中断

审计进程与中间件主进程关联,无法单独中断审计进程,只要开启即符合

四、入侵防范

a)应遵循最小安装的原则,仅安装需要的组件和应用程序

不适用。

b)应关闭不需要的系统服务、默认共享和高危端口

不适用。

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

一般配合服务器防火墙做端口限制来控制远程访问地址

d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求

不适用。

e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞

结合漏洞扫描、渗透测试报告确认是否存在相应漏洞,以及在发现漏洞后是否及时修补,有无更新测试记录

f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警

不适用。

五、数据完整性

a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

1.  鉴别数据、重要配置数据

https通信传输,符合

2.  重要审计数据

确认审计数据是否有传输,若无传输则不适用

b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

完整性默认不符合,需要有比对机制。

六、数据保密性

a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等

鉴别数据,https通信符合

b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等

查看 fileRegistry.xml 文件,位于WebSphere配置文件目录的cells/<cellName>/nodes/<nodeName>/fileRegistry.xml 路径下

图片

图片

password字段加密存储

由于不是很常见,就简单记录了一些等保的查看点,深究的话这玩意应该还是要花费一点时间。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2207653.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

如何使用printf实现整齐美观的输出?

在编程中&#xff0c;尤其是在涉及控制台输出的应用场景中&#xff0c;我们需要让输出的信息更加整齐美观。printf 是 C 语言中用于格式化输出的强大工具之一。通过合理的格式化控制符&#xff0c;我们可以轻松地控制输出的宽度、对齐方式、填充字符等&#xff0c;从而达到整齐…

RiproV9.0主题wordpress主题免扩展可二开PJ版/WordPress博客主题Ripro全解密无后门版本

&#x1f525;&#x1f389; 全新RiPro9.0开源版发布 —— 探索无限可能&#x1f680;&#x1f310; 今天&#xff0c;我很高兴能与大家分享一个重磅资源——RiPro9.0开源版&#xff01;这不是一个普通的版本&#xff0c;而是一个经过精心打磨、全面解密的力作。&#x1f50d;…

使用KEIL5,不复位MCU,调试到程序运行到卡住之处

文章目录 前言步骤1步骤2步骤3步骤4步骤5 前言 经常有朋友在开发中遇到这样的窘境&#xff0c;当单片机程序运行异常以后&#xff0c;由于调试信息做得并不是很全面&#xff0c;导致相应的问题场景非常难分析。当时的你肯定会叹息道:“要是我一直插着仿真器就好了&#xff0c;…

【Concept Sliders】通过拖到滑块来精确控制特定图像特征

Concept Sliders 是一种用于扩散模型&#xff08;如 Stable Diffusion&#xff09;的LoRA 适配器&#xff0c;允许用户在图像生成过程中对特定概念进行精细控制。与依赖提示词生成图像的传统方法不同&#xff0c;Concept Sliders 通过引入可调整的“滑块”&#xff0c;用户可以…

前端读取本地表格数据

vue3tsvite 无后端提供数据的情况下&#xff0c;前端读取本地表格数据&#xff0c;并将数据放入页面结构中 展示在网页中 记得先安装npm install xlsx 目录 read_xlsx.ts import * as XLSX from xlsx; //将行,列转换 function transformSheets(sheets: { [key: string]: any })…

技术架构的演进之路

技术架构的演进之路 我们以电商系统的技术架构发展为例 文章目录 1. 单体架构2. 应用数据分离架构3. 应用服务集群架构4. 读写分离、主从分离架构5. 冷热分离架构6. 垂直分库架构7. 微服务架构8. 容器编排架构 1. 单体架构 在前期用户访问量很少的时候,没有对性能、安全等提出…

自然语言处理(NLP)论文数量的十年趋势:2014-2024

引言 近年来&#xff0c;自然语言处理&#xff08;NLP&#xff09;已成为人工智能&#xff08;AI&#xff09;和数据科学领域中的关键技术之一。随着数据规模的不断扩大和计算能力的提升&#xff0c;NLP技术从学术研究走向了广泛的实际应用。通过观察过去十年&#xff08;2014…

uniapp中添加colorUI的过程

1、先将colorUI文件粘到项目中去 2、common中添加两个文件 3、App文件中引入这两个文件

毕业设计选题:基于ssm+vue+uniapp的健身管理系统小程序

开发语言&#xff1a;Java框架&#xff1a;ssmuniappJDK版本&#xff1a;JDK1.8服务器&#xff1a;tomcat7数据库&#xff1a;mysql 5.7&#xff08;一定要5.7版本&#xff09;数据库工具&#xff1a;Navicat11开发软件&#xff1a;eclipse/myeclipse/ideaMaven包&#xff1a;M…

2024年软件设计师中级(软考中级)详细笔记【5】软件工程基础知识下(分值10+)

第5章软件工程 目录 前言第5章 软件工程基础知识&#xff08;下&#xff09;5.5 系统测试5.5.1 系统测试与调试5.5.2 传统软件的测试策略5.5.5 测试方法5.5.5.1 黑盒测试5.5.5.2 白盒测试白盒测试McCabe度量法伪代码白盒测试McCabe 5.6 运行和维护知识【以背为主】5.6.2 系统维…

Asahi Linux通过大量变通方法实现在M系列Mac上支持AAA级游戏

如果您正在运行 Asahi Linux 并希望在您的 M 系列 Mac 上玩游戏&#xff0c;那么有一个好消息要告诉您&#xff0c;Asahi Linux 项目将继续推出新功能。 2 月份它在 Mac 上Apple Silicon 实现了OpenGL 4.6 和 OpenGL ES 3.2 兼容&#xff0c;现在又在游戏方面取得了进展。但您可…

WRN: 宽度残差网络(论文复现)

WRN: 宽度残差网络&#xff08;论文复现&#xff09; 本文所涉及所有资源均在传知代码平台可获取 文章目录 WRN: 宽度残差网络&#xff08;论文复现&#xff09;概述模型结构核心逻辑实验训练与测试在线部署使用方式 概述 本文复现论文 Wide Residual Networks提出的深度神经网…

软件狗加密的高安全性

软件狗加密&#xff0c;即使用软件加密狗对软件进行加密保护的过程&#xff0c;是一种软硬件结合的加密方式。以下是对软件狗加密的详细解析&#xff1a; 一、软件加密狗的基本概念 软件加密狗&#xff0c;也称为硬件加密锁或USB密钥&#xff0c;是一种用于保护软件和数据安全的…

IEC104规约的秘密之十----令人眼花缭乱的各种限定词,品质描述词

当我们已经能用104通讯完成各种通讯也能解决帧序号等各种问题后&#xff0c;我们就更加关心报文的细节。 各种报文中的限定词就可以进行仔细分析了。 下面以单点遥信做为例子进行分析&#xff1a; SIQ是英文Single-point information with quality descriptor的缩写&#xff0…

HTML+CSS排行榜实现代码,复制粘贴可使用

如何用HTML和CSS创建一个具有吸引力的创作者排行榜 在数字化时代&#xff0c;排行榜是吸引用户注意的绝佳方式。无论是展示最受欢迎的产品、文章还是创作者&#xff0c;一个设计精良的排行榜都能提升用户的参与度和兴趣。本文将指导你如何使用HTML和CSS创建一个具有吸引力的创…

Rider + xmake DX12 开发环境

Rider xmake DX12 开发环境 背景 如题&#xff0c;想要接近 UE 的开发流程 正文 大的流程就是 xmake 生成 vs 的 sln&#xff0c;用 Rider 进行开发 intellisense&#xff0c;断点调试 加了个脚本手动刷新 sln xmake project -k vsxmake -m "debug;release" -…

msvcr100.dll丢失的解决方法,如何安全下载 msvcr100.dll 文件:完全指南

在使用 Windows 操作系统的电脑上运行某些程序或游戏时&#xff0c;可能会遇到一个常见的错误消息&#xff0c;提示缺少 msvcr100.dll 文件。这个 DLL 文件是 Microsoft Visual C 2010 Redistributable Package 的一部分&#xff0c;对于运行依赖于 C 的软件来说至关重要。如果…

Linux等保测评与加固

Linux三级系统测评及加固方法 身份鉴别 应对登录的用户进行身份标识和鉴别&#xff0c;身份标识具有唯一性&#xff0c;身份鉴别信息具有复杂度要求并定期更换 测评方法&#xff1a; ①一般采用用户名口令进行身份鉴别&#xff0c;身份标识具有唯一性无法创建相同用户名 通…

WPF 手撸插件 八 操作数据库一

1、本文将使用SqlSugar创建Sqlite数据库&#xff0c;进行入门的增删改查等操作。擦&#xff0c;咋写着写着凌乱起来了。 SqlSugar官方文档&#xff1a;简单示例&#xff0c;1分钟入门 - SqlSugar 5x - .NET果糖网 2、环境SqlSugar V5.0版本需要.Net Framework 4.6 &#xff0…

MySQL 创建子账号

1. 使用 root 账号登录 MySQL 使用 root 账号登录 MySQL&#xff0c;登录成功如图所示&#xff1a; 新建一个 MySQL 子账号&#xff0c;新建子账号命令如下&#xff1a; 命令 : CREATE USER testlocalhost IDENTIFIED BY 123456;若出现如下图所示&#xff0c;则表示新建 MySQL…