_
中间件安全配置指南_________________________________
目 录
第1章 概述 5
1.1. 目的 5
1.2. 范围 5
1.3. 参考资料 5
第2章 WEBLOGIC SERVER 6
2.1. OS 6
2.2. 数据库 6
2.3. 应用程序补丁 6
2.4. 文件与目录权限 7
2.5. 加密传输敏感信息 7
2.6. SSL保护 8
2.7. 帐号与密码 8
2.8. BANNER 9
第3章 WEBSPHERE APPLIATION SERVER 9
3.1. OS 9
3.2. 数据库 9
3.3. 应用程序补丁 10
3.4. 文件与目录权限 10
3.5. 启用全局安全配置 11
3.6. 加密传输敏感信息 11
第4章 DOMINO 13
4.1. OS 13
4.2. 应用程序补丁 13
4.3. 文件与目录权限 13
4.4. 加密传输敏感信息 14
4.5. 禁止匿名访问DOMINO 14
4.6. 禁止匿名用户浏览数据库 15
4.7. 禁止WEB用户浏览数据库 15
4.8. 禁止WEB配置 15
第5章 TUXEDO 16
5.1. OS 16
5.2. 数据库 16
5.3. 应用安全补丁 16
5.4. 文件与目录权限 17
5.5. 5.5 数据库连接密码加密 17
第1章 概述
1.1. 目的
规范 Weblogic、websphere、Domino与Tuxedo中间件平台的安全配置,一定程度上增强中间件平台环境的安全性,从而更好的为 应用服务
1.2. 范围
所有生产环境weblogc websphere tuxedo domino平台
1.3. 参考资料
《weblogic security》
《websphere security 》
《tuxedo security》
《domino security》
第2章 Weblogic Server
2.1. OS
描述
OS是Weblogic Server环境的基础,保证OS的安全性才能保证weblogic的安全性
风险
无
操作
参见《操作系统安全配置指南》相关部分
2.2. 数据库
描述
数据库用来保存weblogic应用相关数据,因此保证数据库系统安全性可以较少数据受到的威胁
风险
无
操作
参见《数据库安全配置指南》相关部分
2.3. 应用程序补丁
描述
应用软件补丁是厂商对weblogic可能包含的缺陷所做的修补,定期检查weblogic相关安全补丁可以避免降低遭受威胁的可能
风险
高, 安装前需要严格测试
操作
BEA安全公告网站: http://dev2dev.bea.com/advisoriesnotifications/
登录console,点击”Server”->”configuration”->”Keystore and ssl”->”change …”
“Custom Identity Keystore”中填入console.jks的全路径
“passphrase”填写产生证书时的storepass()
Type选择jks
第3章 Websphere Appliation Server
3.1. OS
描述
OS是WAS(Websphere Application Server)环境的基础,保证OS的安全性才能保证WAS的安全性
风险
无
操作
参见《操作系统安全配置指南》相关部分
3.2. 数据库
描述
数据库用来保存WAS应用相关数据,因此保证数据库系统安全性可以较少数据受到的威胁
风险
无
操作
参见《数据库安全配置指南》相关部分
3.3. 应用程序补丁
描述
应用软件补丁是厂商对WAS可能包含的缺陷所做的修补,定期检查WAS相关安全补丁可以避免降低遭受威胁的可能
风险
高, 安装前需要严格测试
操作
编辑httpd.conf,确保下面的行没有注释:
windows:
LoadModule ibm_ssl_module modules/IBMModuleSSL128.dll
Listen 443
<VirtualHost host.some_domain.com:443> (You must also substitute your fully qualified host name in this line.)
SSLEnable
</VirtualHost>
Keyfile "HTTPServer_installdir/ssl/keyfile.kdb"
UNIX:
LoadModule ibm_ssl_module libexec/mod_ibm_ssl_128.so
AddModule mod_ibm_ssl.c
Listen 443
<VirtualHost host.some_domain.com:443> (You must also substitute your fully qualified host name in this line.)
SSLEnable
</VirtualHost>
SSLDisable
Keyfile "HTTPServer_installdir/ssl/keyfile.kdb"
SSLV2Timeout 100
SSLV3Timeout 1000
确保下面行没有注释:
针对WebSphere Commerce
Listen 8000
Listen 8002
Listen 8004
针对WebSphere Payments
Listen 5432
Listen 5433
第4章 Domino
4.1. OS
描述
OS是Domino环境的基础,保证OS的安全性才能保证Domino的安全性
风险
无
操作
参见《操作系统安全配置指南》相关部分
4.2. 应用程序补丁
描述
应用软件补丁是厂商对Domino可能包含的缺陷所做的修补,定期检查Domino相关安全补丁可以避免降低遭受威胁的可能
风险
高, 安装前需要严格测试
操作
4.5. 禁止匿名访问Domino
描述
默认Domino允许匿名用户访问Notes服务,如果Notes使用都是注册用户,必须关闭匿名访问,减少不必要的安全威胁
风险
无
操作
Security Setting->Allow Anonymous Notes Connection设置为No
4.6. 禁止匿名用户浏览数据库
描述
默认情况下匿名用户拥有对database的普通访问权限,这可能导致不必要的安全威胁
风险
无
操作
在database ACL中创建Anonymous用户,不授予任何权限
4.7. 禁止web用户浏览数据库
描述
默认web用户允许浏览数据库,通常我们并不需要这么做,遵循权限的最小化始终是基本的安全策略
风险
无
操作
设置Security Setting-〉“Allow HTTP Client To Browse Database”为No
4.8. 禁止web配置
描述
默认Domino允许通过web对进行domino管理, 如果没有好的密码策略与加密策略,web管理可能成为攻击者的入口
风险
低,无法通过web进行配置
操作
删除webadmin.ntf与webadmin.nsf数据库,通过Lotus Domino Administrator 客户机进行配置
第5章 Tuxedo
5.1. OS
描述
OS是Tuxedo环境的基础,保证OS的安全性才能保证Tuxedo的安全性
风险
无
操作
参见《操作系统安全配置指南》相关部分
5.2. 数据库
描述
数据库用来保存Tuxedo应用相关数据,因此保证数据库系统安全性可以较少数据受到的威胁
风险
无
操作
参见《数据库安全配置指南》相关部分
5.3. 应用安全补丁
描述
应用软件补丁是厂商对Tuxedo可能包含的缺陷所做的修补,定期检查Tuxedo相关安全补丁可以避免降低遭受威胁的可能
风险
高, 安装前需要严格测试
操作
BEA安全公告网站: http://dev2dev.bea.com/advisoriesnotifications/
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞5
添加新评论1 条评论
2019-03-14 10:02