Tomcat系统安全配置基线Word下载.docx

1、4.1.2 自定义错误信息 64.1.3 限制访问IP 74.1.4 禁止目录遍历 7第5章 持续改进 8第1章 概述1.1 目的本文规定了Tomcat系统应当遵循的操作安全性设置标准，本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的范围包括： Tomcat系统。1.3 适用版本适用于Tomcat。第2章 账号管理、认证授权2.1 账号2.1.1 用户帐号设置安全基线项目名称为不同的管理员分配不同的号安全基线项说明 应按照用户分配账号，避免不同用户

2、间共享账号,提高安全性。检测操作步骤1、参考配置操作 修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帐号。2、补充操作说明 1、根据不同用户，取不同的名称。2、Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。基线符合性判定依据询问管理员是否安装需求分配用户号备注2.1.2 删除或锁定无效账号删除或锁定无效账号删除或锁定无效的账号，减少系统安全隐患。参考配置操作 修改tomcat/conf/tomcat-users.xml配置文件，删除与工作无关的帐号。例如tomcat1与运行、维护等工作无

3、关，删除帐号：user username=”tomcat1” password=”tomcat” roles=”admin”查看配置文件2.2 认证2.2.1 密码复杂度密码复杂度对于采用静态口令认证技术的设备，口令长度至少12位，包括数字、小写字母、大写字母和特殊符号4类中至少2类。在tomcat/conf/tomcat-user.xml配置文件中设置密码 user username=”tomcat” password=”Tomcat!口令要求：长度至少12位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检查配置文件查看tomcat/conf/tomcat-users.xml文件

4、 策略设置2.2.2 权限最小化权限最小化在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。编辑tomcat/conf/tomcat-user.xml配置文件，修改用户角色权限 授权tomcat具有远程管理权限：user username=”tomcat” password=”chinamobile” roles=”admin,manager”1、Tomcat 4.x和5.x版本用户角色分为：role1，tomcat，admin，manager四种。role1：具有读权限；tomcat：具有读和运行权限；admin：具有读、运行和写权限；manager：具有远程管理权限。Tom

5、cat 6.0.18版本只有admin和manager两种用户角色，且admin用户具有manager管理权限。2、Tomcat 4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。查看配置文件策略配置业务测试正常第3章 日志审计3.1 日志审核启用日志记录功能应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。编辑server.xml配置文件，在标签中增加记录日志功能 将以下内容的注释标记取消 valve classname=”org.apache.catalina

6、.valves.AccessLogValve” Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt” Pattern=”common” resloveHosts=”false”/classname: This MUST be set to org.apache.catalina.valves.AccessLogValve to use the default access log valve. &60 Directory:日志文件放置的目录，在tomcat下面有个logs文件夹，那里面是专门放置日志文件的，也可以修改为其他路

7、径；Prefix: 这个是日志文件的名称前缀，日志名称为localhost_access_log.2008-10-22.txt，前面的前缀就是这个判定条件 登录测试，检查相关信息是否被记录 查看server.xml文件第4章 其他配置操作4.1.1 登陆超时退出登录超时对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。编辑tomcat/conf/server.xml配置文件，修改为30秒 Connector port=8080 maxHttpHeaderSize=8192 maxThreads=150minSpareThreads=25 maxSpareTh

8、reads=75、 enableLookups=false redirectPort=8443 acceptCount=100connectionTimeout=300 disableUploadTimeout=true /1、判定条件 查看tomcat/conf/server.xml 2、检测操作 登陆tomcat默认页面http:/ip:8080/manager/html ，使用管理账号登陆4.1.2 自定义错误信息自定义错误信息自定义Tomcat返回的错误信息修改Tomcat_homewebappsAPP_NAMEWEB-INFweb.xml在最后一行之前加入以下内容（1）表示出现404

9、未找到网页的错误时显示notfound.html页面error-pageerror-code404location/nofound.html/error-page（2）表示出现java.lang.NullPointerException错误时显示 error.jsp页面exception-typejava.lang.NullPointerException/ error.jsp查看Tomcat_homewebappsAPP_NAMEWEB-INFweb.xml中 param-namelistingsparam-valuefalse/init-param检查Tomcat_homeconfweb.

10、xml配置文件中listings的值为false4.1.5 补丁安装补丁安装安装新版本，修补漏洞在http:/httpd.Tomcat.org/ 下载最新版Tomcat安装进入Tomcat_homelogs，打开一个日志文件，例如：catalina.2009-XX-YY.log，可以找到版本信息2009-6-15 8:00:48 org.apache.catalina.core.StandardEngine start信息: Starting Servlet Engine: Apache Tomcat/6.0.20在漏洞库中查询此版本存在的漏洞第5章 持续改进本文件由XXX定期进行审查，根据审查结果修订标准，并重新颁发执行。版权申明本文部分内容，包括文字、图片、以及设计等在网上搜集整理。版权为潘宏亮个人所有This article includes some parts, including text, pic