Tomcat系统安全配置基线Word下载.docx
《Tomcat系统安全配置基线Word下载.docx》由会员分享,可在线阅读,更多相关《Tomcat系统安全配置基线Word下载.docx(11页珍藏版)》请在冰豆网上搜索。
4.1.2自定义错误信息6
4.1.3限制访问IP7
4.1.4禁止目录遍历7
第5章持续改进8
第1章概述
1.1目的
本文规定了Tomcat系统应当遵循的操作安全性设置标准,本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。
1.2适用范围
本配置标准的使用者包括:
服务器系统管理员、安全管理员和相关使用人员。
本配置标准适用的范围包括:
Tomcat系统。
1.3适用版本
适用于Tomcat。
第2章账号管理、认证授权
2.1账号
2.1.1用户帐号设置
安全基线项目名称
为不同的管理员分配不同的号
安全基线项说明
应按照用户分配账号,避免不同用户间共享账号,提高安全性。
检测操作步骤
1、参考配置操作
修改tomcat/conf/tomcat-users.xml配置文件,修改或添加帐号。
<
userusername=”tomcat”password=”Tomcat!
234”roles=”admin”>
2、补充操作说明
1、根据不同用户,取不同的名称。
2、Tomcat4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。
基线符合性判定依据
询问管理员是否安装需求分配用户号
备注
2.1.2删除或锁定无效账号
删除或锁定无效账号
删除或锁定无效的账号,减少系统安全隐患。
参考配置操作
修改tomcat/conf/tomcat-users.xml配置文件,删除与工作无关的帐号。
例如tomcat1与运行、维护等工作无关,删除帐号:
userusername=”tomcat1”password=”tomcat”roles=”admin”>
查看配置文件
2.2认证
2.2.1密码复杂度
密码复杂度
对于采用静态口令认证技术的设备,口令长度至少12位,包括数字、小写字母、大写字母和特殊符号4类中至少2类。
在tomcat/conf/tomcat-user.xml配置文件中设置密码
userusername=”tomcat”password=”Tomcat!
口令要求:
长度至少12位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检查配置文件
查看tomcat/conf/tomcat-users.xml文件
策略设置
2.2.2权限最小化
权限最小化
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
编辑tomcat/conf/tomcat-user.xml配置文件,修改用户角色权限
授权tomcat具有远程管理权限:
userusername=”tomcat”password=”chinamobile”
roles=”admin,manager”>
1、Tomcat4.x和5.x版本用户角色分为:
role1,tomcat,admin,manager四种。
role1:
具有读权限;
tomcat:
具有读和运行权限;
admin:
具有读、运行和写权限;
manager:
具有远程管理权限。
Tomcat6.0.18版本只有admin和manager两种用户角色,且admin用户具有manager管理权限。
2、Tomcat4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。
查看配置文件策略配置
业务测试正常
第3章日志审计
3.1日志审核
启用日志记录功能
应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。
编辑server.xml配置文件,在<
HOST>
标签中增加记录日志功能
将以下内容的注释标记<
!
---->
取消
valveclassname=”org.apache.catalina.valves.AccessLogValve”
Directory=”logs”prefix=”localhost_access_log.”Suffix=”.txt”
Pattern=”common”resloveHosts=”false”/>
classname:
ThisMUSTbesetto
org.apache.catalina.valves.AccessLogValvetousethedefaultaccesslogvalve.&
60
Directory:
日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专门放置日志文件的,也可以修改为其他路径;
Prefix:
这个是日志文件的名称前缀,日志名称为localhost_access_log.2008-10-22.txt,前面的前缀就是这个
判定条件
登录测试,检查相关信息是否被记录
查看server.xml文件
第4章其他配置操作
4.1.1登陆超时退出
登录超时
对于具备字符交互界面的设备,应支持定时账户自动登出。
登出后用户需再次登录才能进入系统。
编辑tomcat/conf/server.xml配置文件,修改为30秒
Connector
port="
8080"
maxHttpHeaderSize="
8192"
maxThreads="
150"
minSpareThreads="
25"
maxSpareThreads="
75"
、
enableLookups="
false"
redirectPort="
8443"
acceptCount="
100"
connectionTimeout="
300"
disableUploadTimeout="
true"
/>
1、判定条件
查看tomcat/conf/server.xml
2、检测操作
登陆tomcat默认页面http:
//ip:
8080/manager/html,使用管理账号登陆
4.1.2自定义错误信息
自定义错误信息
自定义Tomcat返回的错误信息
修改Tomcat_home\webapps\APP_NAME\WEB-INF\web.xml
在最后<
/web-app>
一行之前加入以下内容
(1)表示出现404未找到网页的错误时显示notfound.html页面
error-page>
error-code>
404<
/error-code>
location>
/nofound.html<
/location>
/error-page>
(2)表示出现java.lang.NullPointerException错误时显示error.jsp页面
exception-type>
java.lang.NullPointerException<
/exception-type>
/error.jsp<
查看Tomcat_home\webapps\APP_NAME\WEB-INF\web.xml中<
<
部分的设置
4.1.3限制访问IP
对敏感目录的访问IP或主机名进行限制
修改Tomcat_home\conf\Catalina\localhost\manager.xml,在Context标签中加入
ValveclassName="
org.apache.catalina.valves.RemoteAddrValve"
allow="
192.168.1.*"
或者
org.apache.catalina.valves.RemoteHostValve"
*"
打开Tomcat_home\conf\Catalina\localhost\manager.xml
查看是否设置有IP或主机名限制
4.1.4禁止目录遍历
禁止目录遍历
防止直接访问目录时由于找不到默认主页而列出目录下文件
打开Tomcat_home\conf\web.xml,查看listings是否设置为false
init-param>
param-name>
listings<
/param-name>
param-value>
false<
/param-value>
/init-param>
检查Tomcat_home\conf\web.xml配置文件中listings的值为false
4.1.5补丁安装
补丁安装
安装新版本,修补漏洞
在http:
//httpd.Tomcat.org/下载最新版Tomcat安装
进入Tomcat_home\logs,打开一个日志文件,例如:
catalina.2009-XX-YY.log,可以找到版本信息
2009-6-158:
00:
48org.apache.catalina.core.StandardEnginestart
信息:
StartingServletEngine:
ApacheTomcat/6.0.20
在漏洞库中查询此版本存在的漏洞
第5章持续改进
本文件由XXX定期进行审查,根据审查结果修订标准,并重新颁发执行。
版权申明
本文部分内容,包括文字、图片、以及设计等在网上搜集整理。
版权为潘宏亮个人所有
Thisarticleincludessomeparts,includingtext,pic