Tomcat系統(tǒng)安全配置基線

Tomcat系統(tǒng)平安配置基線目錄第1章概述11.1目的11.2適用圍11.3適用版本1第2章賬號管理、認證授權12.1賬號1用戶設置1刪除或鎖定無效賬號22.2認證2密碼復雜度2權限最小化3第3章日志審計43.1日志審核4第4章其他配置操作5登陸超時退出5自定義錯誤信息6限制訪問IP7制止目錄遍歷7第5章持續(xù)改良8概述目的本文規(guī)定了Tomcat系統(tǒng)應當遵循的操作平安性設置標準，本文檔旨在指導Tomcat系統(tǒng)管理人員或平安檢查人員進展Tomcat系統(tǒng)的平安合規(guī)性檢查和配置。適用圍本配置標準的使用者包括：效勞器系統(tǒng)管理員、平安管理員和相關使用人員。本配置標準適用的圍包括：Tomcat系統(tǒng)。適用版本適用于Tomcat。賬號管理、認證授權賬號用戶設置平安基線工程名稱為不同的管理員分配不同的號平安基線項說明應按照用戶分配賬號，防止不同用戶間共享賬號,提高平安性。檢測操作步驟1、參考配置操作修改tomcat/conf/tomcat-users.*ml配置文件，修改或添加。<userusername=〞tomcat〞password=〞Tomcat!234〞roles=〞admin〞>2、補充操作說明1、根據(jù)不同用戶，取不同的名稱。2、Tomcat4.1.37、5.5.27和6.0.18這三個版本及以后發(fā)行的版本默認都不存在admin.*ml配置文件?；€符合性判定依據(jù)詢問管理員是否安裝需求分配用戶號備注刪除或鎖定無效賬號平安基線工程名稱刪除或鎖定無效賬號平安基線項說明刪除或鎖定無效的賬號，減少系統(tǒng)平安隱患。檢測操作步驟參考配置操作修改tomcat/conf/tomcat-users.*ml配置文件，刪除與工作無關的。例如tomcat1與運行、維護等工作無關，刪除：<userusername=〞tomcat1〞password=〞tomcat〞roles=〞admin〞>基線符合性判定依據(jù)查看配置文件備注認證密碼復雜度平安基線工程名稱密碼復雜度平安基線項說明對于采用靜態(tài)口令認證技術的設備，口令長度至少12位，包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類。檢測操作步驟1、參考配置操作在tomcat/conf/tomcat-user.*ml配置文件中設置密碼<userusername=〞tomcat〞password=〞Tomcat!234〞roles=〞admin〞>2、補充操作說明口令要求：長度至少12位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類?；€符合性判定依據(jù)檢查配置文件查看tomcat/conf/tomcat-users.*ml文件策略設置備注權限最小化平安基線工程名稱權限最小化平安基線項說明在數(shù)據(jù)庫權限配置能力，根據(jù)用戶的業(yè)務需要，配置其所需的最小權限。檢測操作步驟1、參考配置操作編輯tomcat/conf/tomcat-user.*ml配置文件，修改用戶角色權限授權tomcat具有遠程管理權限：<userusername=〞tomcat〞password=〞chinamobile〞roles=〞admin,manager〞>2、補充操作說明1、Tomcat4.*和5.*版本用戶角色分為：role1，tomcat，admin，manager四種。role1：具有讀權限；tomcat：具有讀和運行權限；admin：具有讀、運行和寫權限；manager：具有遠程管理權限。Tomcat6.0.18版本只有admin和manager兩種用戶角色，且admin用戶具有manager管理權限。2、Tomcat4.1.37和5.5.27版本及以后發(fā)行的版本默認除admin用戶外其他用戶都不具有manager管理權限。基線符合性判定依據(jù)查看配置文件策略配置業(yè)務測試正常備注日志審計日志審核平安基線工程名稱啟用日志記錄功能平安基線項說明應配置日志功能，對用戶登錄進展記錄，記錄容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄時用戶使用的IP地址。檢測操作步驟1、參考配置操作編輯server.*ml配置文件，在<HOST>標簽中增加記錄日志功能將以下容的注釋標記<!---->取消<valveclassname=〞org.apache.catalina.valves.AccessLogValve〞Directory=〞logs〞prefi*=〞localhost_access_log.〞Suffi*=〞.t*t〞Pattern=〞mon〞resloveHosts=〞false〞/>2、補充操作說明classname:ThisMUSTbesettoorg.apache.catalina.valves.AccessLogValvetousethedefaultaccesslogvalve.&<60Directory:日志文件放置的目錄，在tomcat下面有個logs文件夾，那里面是專門放置日志文件的，也可以修改為其他路徑；Prefi*:這個是日志文件的名稱前綴，日志名稱為localhost_access_log.2008-10-22.t*t，前面的前綴就是這個基線符合性判定依據(jù)判定條件登錄測試，檢查相關信息是否被記錄查看server.*ml文件備注其他配置操作登陸超時退出平安基線工程名稱登錄超時平安基線項說明對于具備字符交互界面的設備，應支持定時賬戶自動登出。登出后用戶需再次登錄才能進入系統(tǒng)。檢測操作步驟參考配置操作編輯tomcat/conf/server.*ml配置文件，修改為30秒<Connectorport="8080"ma*HeaderSize="8192"ma*Threads="150"minSpareThreads="25"ma*SpareThreads="75"、enableLookups="false"redirectPort="8443"acceptCount="100"connectionTimeout="300"disableUploadTimeout="true"/>基線符合性判定依據(jù)1、判定條件查看tomcat/conf/server.*ml2、檢測操作登陸tomcat默認頁面ip:8080/manager/html，使用管理賬號登陸備注自定義錯誤信息平安基線工程名稱自定義錯誤信息平安基線項說明自定義Tomcat返回的錯誤信息檢測操作步驟修改Tomcat_home\webapps\APP_NAME\WEB-INF\web.*ml在最后</web-app>一行之前參加以下容〔1〕表示出現(xiàn)404未找到網(wǎng)頁的錯誤時顯示notfound.html頁面<error><error-code>404</error-code><location>/nofound.html</location></error>〔2〕表示出現(xiàn)java.lang.NullPointerE*ception錯誤時顯示error.jsp頁面<error><e*ception-type>java.lang.NullPointerE*ception</e*ception-type><location>/error.jsp</location></error>基線符合性判定依據(jù)查看Tomcat_home\webapps\APP_NAME\WEB-INF\web.*ml中<error></error>局部的設置備注限制訪問IP平安基線工程名稱對敏感目錄的訪問IP或主機名進展限制平安基線項說明對敏感目錄的訪問IP或主機名進展限制檢測操作步驟修改Tomcat_home\conf\Catalina\localhost\manager.*ml，在Conte*t標簽中參加<ValveclassName="org.apache.catalina.valves.RemoteAddrValve"allow="192.168.1.*"/>或者<ValveclassName="org.apache.catalina.valves.RemoteHostValve"allow="*.localdomain."/>基線符合性判定依據(jù)翻開Tomcat_home\conf\Catalina\localhost\manager.*ml查看是否設置有IP或主機名限制備注制止目錄遍歷平安基線工程名稱制止目錄遍歷平安基線項說明防止直接訪問目錄時由于找不到默認主頁而列出目錄下文件檢測操作步驟翻開Tomcat_home\conf\web.*ml，查看listings是否設置為false<init-param><param-name>listings</param-name><param-value>false</param-value></init-param>基線符合性判定依據(jù)檢查Tomcat_home\conf\web.*ml配置文件中l(wèi)istings的值為false備注補丁安裝平安基線工程名稱補丁安裝平安基線項說明安裝新版本，修補漏洞檢測操作步驟在d.T/下載最新版Tomcat安裝基線符合性判定依據(jù)進入T