Tomcat系统安全配置基线.docx
《Tomcat系统安全配置基线.docx》由会员分享,可在线阅读,更多相关《Tomcat系统安全配置基线.docx(12页珍藏版)》请在冰点文库上搜索。
Tomcat系统安全配置基线
Tomcat系统安全配置基线
Tomcat系统安全配置基线
Tomcat安全配置基线
第1章概述1
1.1目的1
1.2适用范围1
1.3适用版本1
第2章账号管理、认证授权1
2.1账号1
2.1.1用户帐号设置1
2.1.2删除或锁定无效账号3
2.2认证4
2.2.1密码复杂度4
2.2.2权限最小化5
第3章日志审计7
3.1日志审核7
第4章其他配置操作9
4.1.1登陆超时退出9
4.1.2自定义错误信息10
4.1.3限制访问IP12
4.1.4禁止目录遍历13
第5章持续改进16
ii
Tomcat系统安全配置基线
第1章概述
1.1目的
本文规定了Tomcat系统应当遵循的操作安全性设置标准,本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。
1.2适用范围
本配置标准的使用者包括:
服务器系统管理员、安全管理员和相关使用人员。
本配置标准适用的范围包括:
Tomcat系统。
1.3适用版本
适用于Tomcat。
第2章账号管理、认证授权
2.1账号
2.1.1用户帐号设置
安全为不同的管理员分配不同的号
1
Tomcat系统安全配置基线
基线项目名称
安全
应按照用户分配账号,避免不同用户间
基线
共享账号,提高安全性。
项说
明
检测
1、参考配置操作
操作
修改tomcat/conf/tomcat-users.xml配置
步骤
文件,修改或添加帐号。
Tomcat!
234”roles=”admin”>
2、补充操作说明
1、根据不同用户,取不同的名称。
2、Tomcat4.1.37、5.5.27和6.0.18这三
个版本及以后发行的版本默认都不存在
admin.xml配置文件。
基线
询问管理员是否安装需求分配用户号
符合
性判
定依
据
Tomcat系统安全配置基线
备注
2.1.2删除或锁定无效账号
安全
删除或锁定无效账号
基线
项目
名称
安全
删除或锁定无效的账号,减少系统安全
基线
隐患。
项说
明
检测
参考配置操作
操作
修改tomcat/conf/tomcat-users.xml配置
步骤
文件,删除与工作无关的帐号。
例如tomcat1与运行、维护等工作无关,
删除帐号:
password=”tomcat”roles=”admin
基线
查看配置文件
符合
性判
Tomcat系统安全配置基线
定依据
备注
2.2认证
2.2.1密码复杂度
安全基线项目名称
密码复杂度
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少12位,包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检测操作步骤
1、参考配置操作
在tomcat/conf/tomcat-user.xml配置文件中设置密码
234”roles=”admin”>
Tomcat系统安全配置基线
2、补充操作说明口令要求:
长度至少12位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
基线符合性判定依据
检查配置文件
查看tomcat/conf/tomcat-users.xml文件
策略设置
备注
2.2.2权限最小化
安全基线项目名称
权限最小化
安全基线项说明
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
检测
1、参考配置操作
Tomcat系统安全配置基线
操作编辑tomcat/conf/tomcat-user.xml配置
步骤文件,修改用户角色权限授权tomcat具有远程管理权限:
password=”chinamobile”roles=”admin,manager”>2、补充操作说明
1、Tomcat4.x和5.x版本用户角色分为:
role1,tomcat,admin,manager四种。
role1:
具有读权限;
tomcat:
具有读和运行权限;admin:
具有读、运行和写权限;manager:
具有远程管理权限。
Tomcat6.0.18版本只有admin和manager两种用户角色,且admin用户具有manager管理权限。
2、Tomcat4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。
查看配置文件策略配置
业务测试正常
Tomcat系统安全配置基线
定依据
备注
第3章日志审计
3.1日志审核
安全基线项目名称
启用日志记录功能
安全基线项说明
应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。
检测操作步骤
1、参考配置操作
编辑server.xml配置文件,在标签中增加记录日志功能将以下内容的注释标记---->取消classname=”org.apache.catalina.valves
Tomcat系统安全配置基线
AccessLogValve”Directory=”logs”prefix=”localhost_access_log.”Suffix=”.txt”Pattern=”common”resloveHosts=”false”/>2、补充操作说明classname:
ThisMUSTbesettoorg.apache.catalina.valves.AccessLogValvetousethedefaultaccesslogvalve.&<60
Directory:
日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专门放置日志文件的,也可以修改为其他路径;
基线符合性判
Prefix:
这个是日志文件的名称前缀,日志名称为localhost_access_log.2008-10-22.txt,前面的前缀就是这个判定条件登录测试,检查相关信息是否被记录查看server.xml文件
Tomcat系统安全配置基线
定依据
备注
第4章其他配置操作
4.1.1登陆超时退出
安全基线项目名称
登录超时
安全基线项说明
对于具备字符交互界面的设备,应支持定时账户自动登出。
登出后用户需再次登录才能进入系统。
检测操作步骤
参考配置操作
编辑tomcat/conf/server.xml配置文件,修改为30秒
Tomcat系统安全配置基线
maxThreads="150"minSpareThreads="25"maxSpareThreads="75"、enableLookups="false"redirectPort="8443"acceptCount="100"connectionTimeout="300"disableUploadTimeout="true"/>
基线符合性判定依据
1、判定条件
查看tomcat/conf/server.xml
2、检测操作
登陆tomcat默认页面http:
//ip:
8080/manager/html,使用管理账号登陆
备注
4.1.2自定义错误信息
安全基线项目名称
自定义错误信息
10
Tomcat系统安全配置基线
安全基线项说明
自定义Tomcat返回的错误信息
检测操作步骤
修改
Tomcat_home\webapps\APP_NAME\WEB-INF\web.xml在最后一行之前加入以下内容
(1)表示出现404未找到网页的错误时显示notfound.html页面
404
/nofound.html
(2)表示出现java.lang.NullPointerException错误时显示error.jsp页面
java.lang.NullPointerException
11
Tomcat系统安全配置基线
/error.jsp
基线符合性判定依据
查看Tomcat_home\webapps\APP_NAME\WEB-INF\web.xml中部分的设置
备注
4.1.3限制访问IP
安全基线项目名称
对敏感目录的访问IP或主机名进行限制
安全基线项说明
对敏感目录的访问IP或主机名进行限制
检测操作步骤
修改
Tomcat_home\conf\Catalina\localhost\manager.xml,在Context标签中加
12
Tomcat系统安全配置基线
入
className="org.apache.catalina.val
ves.RemoteAddrValve"
allow="192.168.1.*"/>
或者
allow="*"/>
基线符合性判定依据
打开
Tomcat_home\conf\Catalina\localhost\manager.xml查看是否设置有IP或主机名限制
备注
4.1.4禁止目录遍历
安全基线项目名称
禁止目录遍历
13
Tomcat系统安全配置基线
安全基线项说明
防止直接访问目录时由于找不到默认主
页而列出目录下文件
检测操作步骤
打开Tomcat_home\conf\web.xml,查看listings是否设置为false
listings
false
基线符合性判定依据
检查Tomcat_home\conf\web.xml配置文件中listings的值为false
备注
4.1.5补丁安装
安全
补丁安装
14
Tomcat系统安全配置基线
基线项目名称
安全
安装新版本,修补漏洞
基线
项说
明
检测
在http:
//httpd.Tomcat.org/下载最新版
操作
Tomcat安装
步骤
基线
进入Tomcat_home\logs,打开一个日
符合
志文件,例如:
性判
catalina.2009-XX-YY.log,可以找到版
定依
本信息
据
2009-6-158:
00:
48org.apache.catalina.core.StandardEnginestart
信息:
StartingServletEngine:
ApacheTomcat/6.0.20在漏洞库中查询此版本存在的漏洞
备注
15
Tomcat系统安全配置基线
第5章持续改进
本文件由XXX定期进行审查,根据审查结果修订标准,并重新颁发执行。
16