Tomcat系统安全配置基线
说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。
专业资料 WORD完美格式 Tomcat系统安全配置基线 下载可编辑 专业资料 目 录 第1章 概述 ......................................................................................................................................... 1 1.1 1.2 1.3 目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1 第2章 账号管理、认证授权 ............................................................................................................. 1 2.1 账号 ......................................................................................................................................... 1 用户帐号设置 ................................................................................................................. 1 2.1.2 删除或锁定无效账号 ..................................................................................................... 2 2.2 认证 ......................................................................................................................................... 2 2.2.1 密码复杂度 ..................................................................................................................... 2 2.2.2 权限最小化 ..................................................................................................................... 3 第3章 日志审计 ................................................................................................................................. 4 3.1 日志审核 ................................................................................................................................. 4 2.1.1 第4章 其他配置操作 ......................................................................................................................... 5 4.1.1 4.1.2 4.1.3 4.1.4 登陆超时退出 ................................................................................................................. 5 自定义错误信息 ............................................................................................................. 6 限制访问IP .................................................................................................................... 6 禁止目录遍历 ................................................................................................................. 7 第5章 持续改进 ................................................................................................................................. 8 WORD完美格式 下载可编辑 专业资料 第1章 概述 1.1 目的 本文规定了Tomcat系统应当遵循的操作安全性设置标准,本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。 本配置标准适用的范围包括: Tomcat系统。 1.3 适用版本 适用于Tomcat。 第2章 账号管理、认证授权 2.1 账号 2.1.1 用户帐号设置 安全基线项目名称 安全基线项说明 检测操作步骤 1、参考配置操作 修改tomcat/conf/tomcat-users.xml配置文件,修改或添加帐号。 2、补充操作说明 WORD完美格式 下载可编辑 为不同的管理员分配不同的号 应按照用户分配账号,避免不同用户间共享账号,提高安全性。 专业资料 1、根据不同用户,取不同的名称。 2、Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。 基线符合性判定依据 备注 询问管理员是否安装需求分配用户号 2.1.2 删除或锁定无效账号 安全基线项目名称 安全基线项说明 检测操作步骤 参考配置操作 修改tomcat/conf/tomcat-users.xml配置文件,删除与工作无关的帐号。 例如tomcat1与运行、维护等工作无关,删除帐号: 基线符合性判定依据 备注 查看配置文件 删除或锁定无效的账号,减少系统安全隐患。 删除或锁定无效账号 2.2 认证 2.2.1 密码复杂度 安全基线项目名称 安全基线项对于采用静态口令认证技术的设备,口令长度至少12位,包括数字、小写字密码复杂度 WORD完美格式 下载可编辑 专业资料 说明 检测操作步骤 母、大写字母和特殊符号4类中至少2类。 1、参考配置操作 在tomcat/conf/tomcat-user.xml配置文件中设置密码 2、补充操作说明 口令要求:长度至少12位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 基线符合性判定依据 检查配置文件 查看tomcat/conf/tomcat-users.xml文件 策略设置 备注 2.2.2 权限最小化 安全基线项目名称 安全基线项说明 检测操作步骤 1、参考配置操作 编辑tomcat/conf/tomcat-user.xml配置文件,修改用户角色权限 授权tomcat具有远程管理权限: roles=”admin,manager”> 2、补充操作说明
1、Tomcat 4.x和5.x版本用户角色分为:role1,tomcat,admin,manager四种。
role1:具有读权限; tomcat:具有读和运行权限; admin:具有读、运行和写权限;
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 权限最小化
WORD完美格式 下载可编辑
专业资料
manager:具有远程管理权限。
Tomcat 6.0.18版本只有admin和manager两种用户角色,且admin用户具有manager管理权限。
2、Tomcat 4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。
基线符合性判定依据
查看配置文件策略配置
业务测试正常
备注
第3章 日志审计
3.1 日志审核
安全基线项目名称 安全基线项说明 检测操作步
骤
应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。 1、参考配置操作
编辑server.xml配置文件,在标签中增加记录日志功能 将以下内容的注释标记< ! -- -- >取消
Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt” Pattern=”common” resloveHosts=”false”/> 2、补充操作说明
classname: This MUST be set to
org.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60
Directory:日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专启用日志记录功能
WORD完美格式 下载可编辑
专业资料
门放置日志文件的,也可以修改为其他路径; Prefix: 这个是日志文件的名称前缀,日志名称为localhost_access_log.2008-10-22.txt,前面的前缀就是这个
基线符合性判定依据
判定条件
登录测试,检查相关信息是否被记录 查看server.xml文件
备注
第4章 其他配置操作
4.1.1 登陆超时退出
安全基线项目名称 安全基线项说明 检测操作步
骤
对于具备字符交互界面的设备,应支持定时账户自动登出。登出后用户需再次登录才能进入系统。 参考配置操作
编辑tomcat/conf/server.xml配置文件,修改为30秒
port="8080" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75"、
enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="300" disableUploadTimeout="true" />
基线符合性判定依据
1、判定条件
查看tomcat/conf/server.xml 2、检测操作
登陆tomcat默认页面http://ip:8080/manager/html ,使用管理账号登陆
备注
登录超时
WORD完美格式 下载可编辑
专业资料
4.1.2 自定义错误信息
安全基线项目名称 安全基线项说明 检测操作步
骤
修改Tomcat_home\webapps\APP_NAME\WEB-INF\web.xml 在最后一行之前加入以下内容
(1)表示出现404未找到网页的错误时显示notfound.html页面
404 /nofound.html
(2)表示出现java.lang.NullPointerException错误时显示 error.jsp页面
java.lang.NullPointerException / error.jsp
基线符合性判定依据 备注
查看Tomcat_home\webapps\APP_NAME\WEB-INF\web.xml中 部分的设置
自定义Tomcat返回的错误信息 自定义错误信息
4.1.3 限制访问IP
安全基线项目名称 安全基线项说明 检测操作步
骤
修改Tomcat_home\conf\Catalina\localhost\manager.xml,在Context标签中加入
对敏感目录的访问IP或主机名进行限制 对敏感目录的访问IP或主机名进行限制
WORD完美格式 下载可编辑
专业资料
allow="192.168.1.*" /> 或者
allow="*.localdomain.com" />
基线符合性判定依据 备注
打开Tomcat_home\conf\Catalina\localhost\manager.xml 查看是否设置有IP或主机名限制
4.1.4 禁止目录遍历
安全基线项目名称 安全基线项说明 检测操作步
骤
打开Tomcat_home\conf\web.xml,查看listings是否设置为false
listings false
基线符合性判定依据 备注
检查Tomcat_home\conf\web.xml配置文件中listings的值为false 防止直接访问目录时由于找不到默认主页而列出目录下文件 禁止目录遍历
4.1.5 补丁安装
安全基线项目名称 安全基线项说明 检测操作步
骤 基线符合性
进入Tomcat_home\logs,打开一个日志文件,例如:在http://httpd.Tomcat.org/ 下载最新版Tomcat安装 安装新版本,修补漏洞 补丁安装
WORD完美格式 下载可编辑
专业资料
判定依据
catalina.2009-XX-YY.log,可以找到版本信息
2009-6-15 8:00:48 org.apache.catalina.core.StandardEngine start 信息: Starting Servlet Engine: Apache Tomcat/6.0.20 在漏洞库中查询此版本存在的漏洞
备注
第5章 持续改进
本文件由XXX定期进行审查,根据审查结果修订标准,并重新颁发执行。
WORD完美格式 下载可编辑
本文来源:https://www.wddqw.com/doc/b5630bdcf51fb7360b4c2e3f5727a5e9856a279c.html