WebSphere® Application Server 依赖于安装期间创建的一些配置文件。这些文件包含密码信息并且需要保护。尽管在安装期间文件受保护的程度是限定的,但对您的站点来说,这个保护的基本级别可能是不够的。应该验证是否依照站点策略来保护这些文件。
开始之前
注: Kerberos
密钥表配置文件包含类似于用户密码的密钥列表。缺省密钥表文件是 krb5.keytab。主机通过将其 Kerberos 密钥表文件存储在本地磁盘上来保护这些文件很重要,这使这些文件只能被授权用户读取。
在 app_server_root/profiles/profile_name/config 和 app_server_root/profiles/profile_name/properties 中的文件需要保护。例如,将许可权授予给那些为执行
WebSphere Application Server 主要管理任务而登录到系统上的用户。其他用户或组(如
WebSphere Application Server 控制台用户和控制台组)也需要许可权。
在 WAS_HOME/config 和 WAS_HOME/properties 目录中的文件需要保护。例如,将许可权授予给那些为执行
WebSphere Application Server 主要管理任务而登录到系统上的用户。其他用户或组(如
WebSphere Application Server 控制台用户和控制台组)也需要许可权。
WAS_HOME/properties 目录中必须可以被每个用户读取的文件是:
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
WAS_HOME 目录的值是在安装
WebSphere Application Server for z/OS®
时在
WebSphere z/OS Profile Management Tool 或 zpmt 命令中指定的(对于基本产品和 WebSphere Application Server Network Deployment)。
过程
保护 Windows 系统上的文件: - 为查看机器上的文件和目录打开浏览器。
- 定位并右键单击要保护的文件或目录。
- 单击属性。
- 单击安全性选项卡。
- 移除每个人条目和任何不访问文件的其他用户或组。
- 添加可以用正确的许可权访问文件的用户。
保护 UNIX 系统上的文件。 此过程仅适用于一般的 UNIX 文件系统。如果您的站点使用访问控制表,那么通过使用该机制来保护这些文件。任何特定于站点的需求可以影响所有者、组和相应的特权;例如,在 AIX® 平台上。- 切换到 install_root 目录,并将目录配置和属性的所有权更改为登录
WebSphere Application Server 主要管理任务的系统的用户。 运行以下命令:chown -R logon_name directory_name
其中:
- login_name 是指定的用户或组
- directory_name 是包含文件的目录的名称
建议将包含密码信息的文件的所有权指定给运行应用程序服务器的用户。如果有多个用户运行应用程序服务器,那么将许可权提供给在用户注册表中指定用户的组。
- 通过运行以下命令设置许可权:chmod
-R 770 directory_name。
- 切换到 app_server_root/profiles/profile_name/properties 目录并设置文件许可权。 根据安全性准则,设置以下文件的访问许可权:
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
例如,可以发出以下命令:chmod 770 file_name,其中 file_name 是 install_root/profiles/profile_name/properties
目录中先前列出的文件的名称。这些文件包含敏感信息(如密码)。
注: 如果您已启用 Kerberos 认证或 SPNEGO Web 认证,请对以下文件设置访问许可权,因为它们涉及您的安全性准则:Kerberos 配置文件(krb5.conf 或 krb5.ini)以及 Kerberos 密钥表文件。
- 为 WebSphere Application Server
创建组并将执行完整或部分 WebSphere Application Server 管理任务的用户放到该组中。
- 如果要将 WebSphere MQ 用作 Java™ 消息服务 (JMS) 提供程序,请限制对 /var/mqm 目录和使用的日志文件的访问。仅向用户标识 mqm 或 mqm 用户组的成员提供写访问权。
保护
WebSphere Application Server for z/OS 系统上的文件。 - 使用 WebSphere z/OS Profile Management Tool 或 zpmt 命令并遵循生成的指示信息定制系统。
生成的定制作业执行以下功能:
- 创建管理员和服务器进程所需的系统授权工具 (SAF)
WebSphere Application Server 用户标识。
- 创建 SAF WebSphere Application Server
配置组并添加 SAF WebSphere Application Server 用户标识。
- 提供从 Java 2, Enterprise Edition (J2EE) 主体到 SAF 用户标识的映射。可以生成样本映射模块,也可以指定您自己创建的模块。
- 使
WebSphere Application Server 启动的任务与先前定义的 SAF 用户标识和组关联。
- 使用运行
WebSphere Application Server 所需的系统和属性文件填充文件系统。
- 将这些文件的所有权更改为归
WebSphere Application Server 管理员所有。
- 创建适当的文件许可权。
WAS_HOME/config 目录中的所有文件必须可以被
WebSphere Application Server 配置组的所有成员进行写和读访问,但必须不能被每个用户访问(方式 770)。
WAS_HOME/properties
目录中的所有文件必须可以被
WebSphere Application Server 配置组的所有成员进行写和读访问。根据安全性准则,设置以下文件的访问许可权:
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
例如,可以发出以下命令:
chmod 775 file_name。
file_name
是先前列出的文件的名称。这些文件包含敏感信息(如密码)。
注: 如果您已启用 Kerberos 认证或 SPNEGO Web 认证,请对以下文件设置访问许可权,因为它们涉及您的安全性准则:Kerberos 配置文件(krb5.conf 或 krb5.ini)以及 Kerberos 密钥表文件。
- 将执行全部或部分
WebSphere Application Server 管理任务的管理员添加到配置组。
- 限制对
/var/mqm 目录和
WebSphere Application Server 嵌入式消息传递或作为 JMS 提供程序的 WebSphere MQ 所需要的日志文件的访问。仅向 mqm 用户标识或 mqm 用户组的成员授予写访问权。
结果
保护您的环境后,仅具有许可权的用户可以访问这些文件。无法充分保护这些文件可以导致
WebSphere Application Server 应用程序中的安全性违规。
下一步做什么
如果发生由文件访问许可权而引起的故障,请检查许可权设置。