TomcatWeb服務器安全配置基線

1、Tomcat Web 服務器安全配置基線中國移動通信有限公司 管理信息系統(tǒng)部2012年 04 月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年 1 月V2.0更新2012年 4 月備注：1. 若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目錄第 1 章概述 41.1 目的 41.2 適用范圍 41.3 適用版本 41.4 實施 41.5 例外條款 4第 2 章帳號管理、認證授權 52.1 帳號 52.1.1共享帳號管理* 52.1.2無關帳號管理* 52.2 口令 62.2.1 密碼復雜度 62.2.2 密碼生存期 72.3授權 72.3.1用戶權利指派*

2、7第 3 章日志配置操作 93.1 日志配置 93.1.1 審核登錄 9第 4 章 IP 協(xié)議安全配置 104.1 IP 協(xié)議 104.1.1 支持加密協(xié)議 * 10第 5 章 設備其他配置操作 115.1 安全管理 115.1.1 定時登出 115.1.2 錯誤頁面處理 115.1.3 目錄列表訪問限制 12第 6 章 評審與修訂 14第 1章 概述1.1 目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護管理的 Tomcat WEB 服 務器應當遵循的安全性設置標準， 本文檔旨在指導系統(tǒng)管理人員進行 Tomcat WEB 服務器的 安全配置。1.2 適用范圍本配置標準的使用者包括：

3、服務器系統(tǒng)管理員、應用管理員、網絡安全管理員。 本配置標準適用的范圍包括：支持中國移動集團公司管理信息系統(tǒng)部運行的 Tomcat Web 服務器系統(tǒng)。1.3 適用版本4.x、 5.x、 6.x 版本的 Tomcat Web 服務器。1.4 實施本標準的解釋權和修改權屬于中國移動集團管理信息系統(tǒng)部， 在本標準的執(zhí)行過程中若 有任何疑問或建議，應及時反饋。本標準發(fā)布之日起生效。1.5 例外條款欲申請本標準的例外條款， 申請人必須準備書面申請文件， 說明業(yè)務需求和原因， 送交 中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。第 2章 帳號管理、認證授權2.1 帳號2.1.1 共享帳號管理 *安全基線

4、項 目名稱Tomcat 共享帳號管理安全基線要求項安全基線編 號SBL-Tomcat-02-01-01安全基線項 說明應按照用戶分配帳號。避免不同用戶間共享帳號。避免用戶帳號和設備間通 信使用的帳號共享。檢測操作步 驟1、參考配置操作修改 tomcat/conf/tomcat-users.xml 配置文件，修改或添加帳號。2、補充操作說明1、根據(jù)不同用戶，取不同的名稱。2、 Tomcat 4.1.37 、 5.5.27 和 6.0.18 這三個版本及以后發(fā)行的版本默認都不存 在 admin.xml 配置文件?；€符合性 判定依據(jù)1、判定條件各帳號都可以登錄 Tomcat Web服務器為正常2、

5、檢測操作訪問 http:/ip:8080/manager/html 管理頁面，進行 Tomcat 服務器管理備注手工檢查2.1.2 無關帳號管理 *安全基線項 目名稱Tomcat 無關帳號管理安全基線要求項安全基線編 號SBL-Tomcat-02-01-02安全基線項 說明應刪除或鎖定與設備運行、維護等工作無關的帳號。檢測操作步 驟1、參考配置操作修改 tomcat/conf/tomcat-users.xml 配置文件，刪除與工作無關的帳號。例如 tomcat1 與運行、維護等工作無關，刪除帳號：基線符合性 判定依據(jù)1、判定條件被刪除的與工作無關的帳號 tomcat1 不能正常登陸。2、檢測操

6、作訪問 http:/ip:8080/manager/html 管理頁面，使用刪除帳號進行登陸嘗試。備注手工檢查2.2 口令2.2.1 密碼復雜度安全基線項 目名稱Tomcat 密碼復雜度安全基線要求項安全基線編 號SBL-Tomcat-02-02-01安全基線項 說明對于采用靜態(tài)口令認證技術的設備，口令長度至少8 位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且 5 次以內不得設置相同的口 令。檢測操作步 驟1、參考配置操作在 tomcat/conf/tomcat-user.xml 配置文件中設置密碼 2、補充操作說明口令要求：口令長度至少 8 位，并包括數(shù)字、小寫字母、大寫字母

7、和特殊符 號四類中至少兩類。且 5 次以內不得設置相同的口令。基線符合性 判定依據(jù)1、判定條件檢查 tomcat/conf/tomcat-user.xml 配置文件中的帳號口令是否符合移動通過配 置口令復雜度要求。2、檢測操作 （1）人工檢查配置文件中帳號口令是否符合； （ 2）使用 tomcat 弱口令掃描工具定期對 Tomcat Web 服務器進行遠程掃描， 檢查是否存在弱口令帳號。3、補充說明 對于使用弱口令掃描工具進行檢查時應注意掃描的線程數(shù)等方面，避免對服 務器造成不必要的資源消耗； 選擇在服務器負荷較低的時間段進行掃描檢查。備注2.2.2 密碼生存期安全基線項 目名稱Tomcat

8、密碼生存期安全基線要求項安全基線編 號SBL-Tomcat-02-02-02安全基線項 說明對于采用靜態(tài)口令認證技術的設備，應支持按天配置口令生存期功能，帳號 口令的生存期不長于 90 天。檢測操作步 驟1、參考配置操作定期對管理 Tomcat Web 服務器的帳號口令進行修改，間隔不長于90天?；€符合性 判定依據(jù)1、判定條件90 天后使用原帳號口令進行登陸嘗試，登錄不成功；2、檢測操作使用超過 90 天的帳號口令進行登錄嘗試；備注2.3 授權2.3.1 用戶權利指派 *安全基線項 目名稱Tomcat 用戶權利指派安全基線要求項安全基線編 號SBL-Tomcat-02-03-01安全基線項

9、說明在設備權限配置能力內，根據(jù)用戶的業(yè)務需要，配置其所需的最小權限。檢測操作步 驟1、參考配置操作編輯 tomcat/conf/tomcat-user.xml 配置文件，修改用戶角色權限 授權 tomcat 具有遠程管理權限：2、補充操作說明1、 Tomcat 4.x 和 5.x 版本用戶角色分為： role1， tomcat， admin， manager 四 種。role1：具有讀權限； tomcat：具有讀和運行權限；admin：具有讀、運行和寫權限； manager：具有遠程管理權限。Tomcat 6.0.18 版本只有 admin 和 manager 兩種用戶角色，且 admin 用

10、戶具有 manager 管理權限。2、Tomcat 4.1.37和 5.5.27版本及以后發(fā)行的版本默認除 admin用戶外其他用 戶都不具有 manager 管理權限?；€符合性 判定依據(jù)1、判定條件 登陸遠程管理頁面，使用 tomcat 帳號進行登陸，登陸成功。2、檢測操作登陸 http:/ip:8080/manager/html 頁面， 使用 tomcat 帳號登陸， 進行遠程管理。備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。第 3章 日志配置操作3.1 日志配置3.1.1 審核登錄安全基線項 目名稱Tomcat 審核登錄安全基線要求項安全基線編 號SBL-Tomca

11、t-03-01-01安全基線項 說明設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的 帳號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的 IP 地址。檢測操作步 驟1、參考配置操作 編輯 server.xml 配置文件，在 標簽中增加記錄日志功能 將以下內容的注釋標記 取消2、補充操作說明 classname: This MUST be set toorg.apache.catalina.valves.AccessLogValve to use the default access log valve. &Factory classname=”org.apache.ca

12、talina.SSLServerSocketFactory ” clientAuth= ”false”keystoreFile= ”/path/to/my/keystore ” keystorePass=”runway ” protocol= ”TLS ”/Connector其中 keystorePass 的值為生成 keystore 時輸入的密碼(3)重新啟動 tomcat 服務基線符合性 判定依據(jù)1、判定條件使用 https 方式登陸 tomcat 服務器頁面，登陸成功2、檢測操作使用 https 方式登陸 tomcat 服務器管理頁面?zhèn)渥⒏鶕?jù)應用場景的不同，如部署場景需開啟此功能，則強制

13、要求此項。第 5章 設備其他配置操作5.1 安全管理5.1.1 定時登出安全基線項 目名稱Tomcat 定時登出安全基線要求項安全基線編 號SBL-Tomcat-05-01-01安全基線項 說明對于具備字符交互界面的設備，應支持定時賬戶自動登出。登出后用戶需再 次登錄才能進入系統(tǒng)。檢測操作步 驟1、參考配置操作編輯 tomcat/conf/server.xml 配置文件，修改為 300 秒 2、補充操作說明基線符合性 判定依據(jù)1、判定條件300 秒自動登出。2、檢測操作登陸 tomcat 默認頁面 http:/ip:8080/manager/html ，使用管理帳號登陸3、補充說明備注5.1.

14、2 錯誤頁面處理安全基線項 目名稱Tomcat 錯誤頁面安全基線要求項安全基線編 號SBL-Tomcat-05-01-02安全基線項 說明Tomcat 錯誤頁面重定向檢測操作步 驟1、參考配置操作 (1) 查看 tomcat/conf/web.xml 文件 : 404 /noFile.htmjava.lang.NullPointerException / error.jsp基線符合性 判定依據(jù)1、 判定條件 要求包含如下片段：備注5.1.3 目錄列表訪問限制安全基線項 目名稱Tomcat 目錄列表安全基線要求項安全基線編 號SBL-Tomcat-05-01-03安全基線項 說明禁止 tomcat 列表顯示文件檢測操作步 驟1、參考配置操作(1) 編輯 tomcat/