TomcatWeb服務(wù)器安全配置基線

1、Tomcat Web 服務(wù)器安全配置基線中國移動通信有限公司 管理信息系統(tǒng)部2012年 04 月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年 1 月V2.0更新2012年 4 月備注：1. 若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目錄第 1 章概述 41.1 目的 41.2 適用范圍 41.3 適用版本 41.4 實施 41.5 例外條款 4第 2 章帳號管理、認(rèn)證授權(quán) 52.1 帳號 52.1.1共享帳號管理* 52.1.2無關(guān)帳號管理* 52.2 口令 62.2.1 密碼復(fù)雜度 62.2.2 密碼生存期 72.3授權(quán) 72.3.1用戶權(quán)利指派*

2、7第 3 章日志配置操作 93.1 日志配置 93.1.1 審核登錄 9第 4 章 IP 協(xié)議安全配置 104.1 IP 協(xié)議 104.1.1 支持加密協(xié)議 * 10第 5 章 設(shè)備其他配置操作 115.1 安全管理 115.1.1 定時登出 115.1.2 錯誤頁面處理 115.1.3 目錄列表訪問限制 12第 6 章 評審與修訂 14第 1章 概述1.1 目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的 Tomcat WEB 服 務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)， 本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行 Tomcat WEB 服務(wù)器的 安全配置。1.2 適用范圍本配置標(biāo)準(zhǔn)的使用者包括：

3、服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。 本配置標(biāo)準(zhǔn)適用的范圍包括：支持中國移動集團公司管理信息系統(tǒng)部運行的 Tomcat Web 服務(wù)器系統(tǒng)。1.3 適用版本4.x、 5.x、 6.x 版本的 Tomcat Web 服務(wù)器。1.4 實施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部， 在本標(biāo)準(zhǔn)的執(zhí)行過程中若 有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5 例外條款欲申請本標(biāo)準(zhǔn)的例外條款， 申請人必須準(zhǔn)備書面申請文件， 說明業(yè)務(wù)需求和原因， 送交 中國移動通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。第 2章 帳號管理、認(rèn)證授權(quán)2.1 帳號2.1.1 共享帳號管理 *安全基線

4、項 目名稱Tomcat 共享帳號管理安全基線要求項安全基線編 號SBL-Tomcat-02-01-01安全基線項 說明應(yīng)按照用戶分配帳號。避免不同用戶間共享帳號。避免用戶帳號和設(shè)備間通 信使用的帳號共享。檢測操作步 驟1、參考配置操作修改 tomcat/conf/tomcat-users.xml 配置文件，修改或添加帳號。2、補充操作說明1、根據(jù)不同用戶，取不同的名稱。2、 Tomcat 4.1.37 、 5.5.27 和 6.0.18 這三個版本及以后發(fā)行的版本默認(rèn)都不存 在 admin.xml 配置文件。基線符合性 判定依據(jù)1、判定條件各帳號都可以登錄 Tomcat Web服務(wù)器為正常2、

5、檢測操作訪問 http:/ip:8080/manager/html 管理頁面，進(jìn)行 Tomcat 服務(wù)器管理備注手工檢查2.1.2 無關(guān)帳號管理 *安全基線項 目名稱Tomcat 無關(guān)帳號管理安全基線要求項安全基線編 號SBL-Tomcat-02-01-02安全基線項 說明應(yīng)刪除或鎖定與設(shè)備運行、維護(hù)等工作無關(guān)的帳號。檢測操作步 驟1、參考配置操作修改 tomcat/conf/tomcat-users.xml 配置文件，刪除與工作無關(guān)的帳號。例如 tomcat1 與運行、維護(hù)等工作無關(guān)，刪除帳號：基線符合性 判定依據(jù)1、判定條件被刪除的與工作無關(guān)的帳號 tomcat1 不能正常登陸。2、檢測操

6、作訪問 http:/ip:8080/manager/html 管理頁面，使用刪除帳號進(jìn)行登陸嘗試。備注手工檢查2.2 口令2.2.1 密碼復(fù)雜度安全基線項 目名稱Tomcat 密碼復(fù)雜度安全基線要求項安全基線編 號SBL-Tomcat-02-02-01安全基線項 說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8 位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且 5 次以內(nèi)不得設(shè)置相同的口 令。檢測操作步 驟1、參考配置操作在 tomcat/conf/tomcat-user.xml 配置文件中設(shè)置密碼 2、補充操作說明口令要求：口令長度至少 8 位，并包括數(shù)字、小寫字母、大寫字母

7、和特殊符 號四類中至少兩類。且 5 次以內(nèi)不得設(shè)置相同的口令?；€符合性 判定依據(jù)1、判定條件檢查 tomcat/conf/tomcat-user.xml 配置文件中的帳號口令是否符合移動通過配 置口令復(fù)雜度要求。2、檢測操作 （1）人工檢查配置文件中帳號口令是否符合； （ 2）使用 tomcat 弱口令掃描工具定期對 Tomcat Web 服務(wù)器進(jìn)行遠(yuǎn)程掃描， 檢查是否存在弱口令帳號。3、補充說明 對于使用弱口令掃描工具進(jìn)行檢查時應(yīng)注意掃描的線程數(shù)等方面，避免對服 務(wù)器造成不必要的資源消耗； 選擇在服務(wù)器負(fù)荷較低的時間段進(jìn)行掃描檢查。備注2.2.2 密碼生存期安全基線項 目名稱Tomcat

8、密碼生存期安全基線要求項安全基線編 號SBL-Tomcat-02-02-02安全基線項 說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)支持按天配置口令生存期功能，帳號 口令的生存期不長于 90 天。檢測操作步 驟1、參考配置操作定期對管理 Tomcat Web 服務(wù)器的帳號口令進(jìn)行修改，間隔不長于90天?；€符合性 判定依據(jù)1、判定條件90 天后使用原帳號口令進(jìn)行登陸嘗試，登錄不成功；2、檢測操作使用超過 90 天的帳號口令進(jìn)行登錄嘗試；備注2.3 授權(quán)2.3.1 用戶權(quán)利指派 *安全基線項 目名稱Tomcat 用戶權(quán)利指派安全基線要求項安全基線編 號SBL-Tomcat-02-03-01安全基線項

9、說明在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。檢測操作步 驟1、參考配置操作編輯 tomcat/conf/tomcat-user.xml 配置文件，修改用戶角色權(quán)限 授權(quán) tomcat 具有遠(yuǎn)程管理權(quán)限：2、補充操作說明1、 Tomcat 4.x 和 5.x 版本用戶角色分為： role1， tomcat， admin， manager 四 種。role1：具有讀權(quán)限； tomcat：具有讀和運行權(quán)限；admin：具有讀、運行和寫權(quán)限； manager：具有遠(yuǎn)程管理權(quán)限。Tomcat 6.0.18 版本只有 admin 和 manager 兩種用戶角色，且 admin 用

10、戶具有 manager 管理權(quán)限。2、Tomcat 4.1.37和 5.5.27版本及以后發(fā)行的版本默認(rèn)除 admin用戶外其他用 戶都不具有 manager 管理權(quán)限。基線符合性 判定依據(jù)1、判定條件 登陸遠(yuǎn)程管理頁面，使用 tomcat 帳號進(jìn)行登陸，登陸成功。2、檢測操作登陸 http:/ip:8080/manager/html 頁面， 使用 tomcat 帳號登陸， 進(jìn)行遠(yuǎn)程管理。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。第 3章 日志配置操作3.1 日志配置3.1.1 審核登錄安全基線項 目名稱Tomcat 審核登錄安全基線要求項安全基線編 號SBL-Tomca

11、t-03-01-01安全基線項 說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的 帳號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的 IP 地址。檢測操作步 驟1、參考配置操作 編輯 server.xml 配置文件，在 標(biāo)簽中增加記錄日志功能 將以下內(nèi)容的注釋標(biāo)記 取消2、補充操作說明 classname: This MUST be set toorg.apache.catalina.valves.AccessLogValve to use the default access log valve. &Factory classname=”org.apache.ca

12、talina.SSLServerSocketFactory ” clientAuth= ”false”keystoreFile= ”/path/to/my/keystore ” keystorePass=”runway ” protocol= ”TLS ”/Connector其中 keystorePass 的值為生成 keystore 時輸入的密碼(3)重新啟動 tomcat 服務(wù)基線符合性 判定依據(jù)1、判定條件使用 https 方式登陸 tomcat 服務(wù)器頁面，登陸成功2、檢測操作使用 https 方式登陸 tomcat 服務(wù)器管理頁面?zhèn)渥⒏鶕?jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制

13、要求此項。第 5章 設(shè)備其他配置操作5.1 安全管理5.1.1 定時登出安全基線項 目名稱Tomcat 定時登出安全基線要求項安全基線編 號SBL-Tomcat-05-01-01安全基線項 說明對于具備字符交互界面的設(shè)備，應(yīng)支持定時賬戶自動登出。登出后用戶需再 次登錄才能進(jìn)入系統(tǒng)。檢測操作步 驟1、參考配置操作編輯 tomcat/conf/server.xml 配置文件，修改為 300 秒 2、補充操作說明基線符合性 判定依據(jù)1、判定條件300 秒自動登出。2、檢測操作登陸 tomcat 默認(rèn)頁面 http:/ip:8080/manager/html ，使用管理帳號登陸3、補充說明備注5.1.

14、2 錯誤頁面處理安全基線項 目名稱Tomcat 錯誤頁面安全基線要求項安全基線編 號SBL-Tomcat-05-01-02安全基線項 說明Tomcat 錯誤頁面重定向檢測操作步 驟1、參考配置操作 (1) 查看 tomcat/conf/web.xml 文件 : 404 /noFile.htmjava.lang.NullPointerException / error.jsp基線符合性 判定依據(jù)1、 判定條件 要求包含如下片段：備注5.1.3 目錄列表訪問限制安全基線項 目名稱Tomcat 目錄列表安全基線要求項安全基線編 號SBL-Tomcat-05-01-03安全基線項 說明禁止 tomcat 列表顯示文件檢測操作步 驟1、參考配置操作(1) 編輯 tomcat/