Tomcat Web服务器安全配置基线Word文档格式.docx
《Tomcat Web服务器安全配置基线Word文档格式.docx》由会员分享,可在线阅读,更多相关《Tomcat Web服务器安全配置基线Word文档格式.docx(14页珍藏版)》请在冰豆网上搜索。
服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:
支持中国移动集团公司管理信息系统部运行的TomcatWeb服务器系统。
2.5适用版本
2.6
4.x、5.x、6.x版本的TomcatWeb服务器。
2.7实施
2.8
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
2.9例外条款
2.10
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第3章帐号管理、认证授权
第4章
4.1帐号
4.2
4.2.1共享帐号管理*
安全基线项目名称
Tomcat共享帐号管理安全基线要求项
安全基线编号
SBL-Tomcat-02-01-01
安全基线项说明
应按照用户分配帐号。
避免不同用户间共享帐号。
避免用户帐号和设备间通信使用的帐号共享。
检测操作步骤
1、参考配置操作
修改tomcat/conf/tomcat-users.xml配置文件,修改或添加帐号。
<
userusername=”tomcat”password=”Tomcat!
234”roles=”admin”>
2、补充操作说明
1、根据不同用户,取不同的名称。
2、Tomcat4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。
基线符合性判定依据
1、判定条件
各帐号都可以登录TomcatWeb服务器为正常
2、检测操作
访问http:
//ip:
8080/manager/html管理页面,进行Tomcat服务器管理
备注
手工检查
无关帐号管理*
Tomcat无关帐号管理安全基线要求项
SBL-Tomcat-02-01-02
应删除或锁定与设备运行、维护等工作无关的帐号。
修改tomcat/conf/tomcat-users.xml配置文件,删除与工作无关的帐号。
例如tomcat1与运行、维护等工作无关,删除帐号:
userusername=”tomcat1”password=”tomcat”roles=”admin”>
被删除的与工作无关的帐号tomcat1不能正常登陆。
8080/manager/html管理页面,使用删除帐号进行登陆尝试。
4.3口令
4.4
密码复杂度
Tomcat密码复杂度安全基线要求项
SBL-Tomcat-02-02-01
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
在tomcat/conf/tomcat-user.xml配置文件中设置密码
userusername=”tomcat”password=”Tomcat!
口令要求:
口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
检查tomcat/conf/tomcat-user.xml配置文件中的帐号口令是否符合移动通过配置口令复杂度要求。
(1)人工检查配置文件中帐号口令是否符合;
(2)使用tomcat弱口令扫描工具定期对TomcatWeb服务器进行远程扫描,检查是否存在弱口令帐号。
3、补充说明
对于使用弱口令扫描工具进行检查时应注意扫描的线程数等方面,避免对服务器造成不必要的资源消耗;
选择在服务器负荷较低的时间段进行扫描检查。
密码生存期
Tomcat密码生存期安全基线要求项
SBL-Tomcat-02-02-02
对于采用静态口令认证技术的设备,应支持按天配置口令生存期功能,帐号口令的生存期不长于90天。
定期对管理TomcatWeb服务器的帐号口令进行修改,间隔不长于90天。
90天后使用原帐号口令进行登陆尝试,登录不成功;
使用超过90天的帐号口令进行登录尝试;
4.5授权
4.6
用户权利指派*
Tomcat用户权利指派安全基线要求项
SBL-Tomcat-02-03-01
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
编辑tomcat/conf/tomcat-user.xml配置文件,修改用户角色权限
授权tomcat具有远程管理权限:
userusername=”tomcat”password=”chinamobile”
roles=”admin,manager”>
1、Tomcat4.x和5.x版本用户角色分为:
role1,tomcat,admin,manager四种。
role1:
具有读权限;
tomcat:
具有读和运行权限;
admin:
具有读、运行和写权限;
manager:
具有远程管理权限。
Tomcat6.0.18版本只有admin和manager两种用户角色,且admin用户具有manager管理权限。
2、Tomcat4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。
登陆远程管理页面,使用tomcat帐号进行登陆,登陆成功。
登陆http:
8080/manager/html页面,使用tomcat帐号登陆,进行远程管理。
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
第5章日志配置操作
第6章
6.1日志配置
6.2
审核登录
Tomcat审核登录安全基线要求项
SBL-Tomcat-03-01-01
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
编辑server.xml配置文件,在<
HOST>
标签中增加记录日志功能
将以下内容的注释标记<
!
---->
取消
valveclassname=”org.apache.catalina.valves.AccessLogValve”
Directory=”logs”prefix=”localhost_access_log.”Suffix=”.txt”
Pattern=”common”resloveHosts=”false”/>
classname:
ThisMUSTbesetto
org.apache.catalina.valves.AccessLogValvetousethedefaultaccesslogvalve.&
60
Directory:
日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专门放置日志文件的,也可以修改为其他路径;
Prefix:
这个是日志文件的名称前缀,日志名称为localhost_access_log.2008-10-22.txt,前面的前缀就是这个localhost_access_log
Suffix:
文件后缀名
Pattern:
common方式时,将记录访问源IP、本地服务器IP、记录日志服务器IP、访问方式、发送字节数、本地接收端口、访问URL地址等相关信息在日志文件中
resolveHosts:
值为true时,tomcat会将这个服务器IP地址通过DNS转换为主机名,如果是false,就直接写服务器IP地址
查看logs目录中相关日志文件内容,记录完整
查看localhost_access_log.2008-10-22.log中相关日志记录
第7章IP协议安全配置
第8章
8.1IP协议
8.2
支持加密协议*
Tomcat支持加密协议安全基线要求项
SBL-Tomcat-04-01-01
对于通过HTTP协议进行远程维护的设备,设备应支持使用HTTPS等加密协议。
(1)使用JDK自带的keytool工具生成一个证书
JAVA_HOME/bin/keytool-genkey–aliastomcat–keyalgRSA
-keystore/path/to/my/keystore
(2)修改tomcat/conf/server.xml配置文件,更改为使用https方式,增加如下行:
Connectorclassname=”org.apache.catalina.http.HttpConnector”
port=”8443”minProcessors=”5”maxprocessors=”100”
enableLookups=”true”acceptCount=”10”debug=”0”
scheme=”https”secure=”true”>
Factoryclassname=”org.apache.catalina.SSLServerSocketFactory”
clientAuth=”false”
keystoreFile=”/path/to/my/keystore”keystorePass=”runway”
protocol=”TLS”/>
/Connector>
其中keystorePass的值为生成keystore时输入的密码
(3)重新启动tomcat服务
使用https方式登陆tomcat服务器页面,登陆成功
使用https方式登陆tomcat服务器管理页面
第9章设备其他配置操作
第10章
10.1安全管理
10.2
定时登出
Tomcat定时登出安全基线要求项
SBL-Tomcat-05-01-01
对于具备字符交互界面的设备,应支持定时账户自动登出。
登出后用户需再次登录才能进入系统。
编辑tomcat/conf/server.xml配置文件,修改为300秒
Connector
port="
8080"
maxHttpHeaderSize="
8192"
maxThreads="
150"
minSpareThreads="
25"
maxSpareThreads="
75"
、
enableLookups="
false"
redirectPort="
8443"
acceptCount="
100"
connectionTimeout="
300"
disableUploadTimeout="
true"
/>
2、补充操作说明
300秒自动登出。
登陆tomcat默认页面http:
8080/manager/html,使用管理帐号登陆
错误页面处理
Tomcat错误页面安全基线要求项
SBL-Tomcat-05-01-02
Tomcat错误页面重定向
1、参考配置操作
(1)查看tomcat/conf/web.xml文件:
error-page>
error-code>
404<
/error-code>
location>
/noFile.htm<
/location>
/error-page>
……………
exception-type>
java.lang.NullPointerException<
/exception-type>
/error.jsp<
2、
要求包含如下片段:
目录列表访问限制
Tomcat目录列表安全基线要求项
SBL-Tomcat-05-01-03
禁止tomcat列表显示文件
(1)编辑tomcat/conf/web.xml配置文件,
init-param>
param-name>
listings<
/param-name>
param-value>
true<
/param-value>
<
/init-param>
把true改成false
(2)重新启动tomcat服务
当WEB目录中没有默认首页如index.html,index.jsp等文件时,不会列出目录内容
直接访问http:
8800/webadd
第11章评审与修订
第12章
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。