Tomcat系统加固规范V02.docx

1、Tomcat系统加固规范V02Tomcat系统加固规范 2022年4月目录1账号管理、认证授权1.1.1 SHG-Tomcat-01-01-01编号SHG-Tomcat-01-01-01名称为不同的管理员分配不同的账号实施目的应按照用户分配账号，避免不同用户间共享账号,提高安全性。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态记录tomcat/conf/tomcat-users.xml文件实施步骤1、参考配置操作修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帐号。2、补充操作说明1、根据不同用户，取不同的名称。2、Tomcat 4.1.37

2、、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。回退方案还原tomcat/conf/tomcat-users.xml文件判断依据询问管理员是否安装需求分配用户账号实施风险高重要等级备注1.1.2 SHG-Tomcat-01-01-02编号SHG-Tomcat-01-01-02名称删除或锁定无效账号实施目的删除或锁定无效的账号，减少系统安全隐患。问题影响允许非法利用系统默认账号系统当前状态记录tomcat/conf/tomcat-users.xml文件实施步骤1、参考配置操作修改tomcat/conf/tomcat-users.xml配置文件，删除与

3、工作无关的帐号。例如tomcat1与运行、维护等工作无关，删除帐号：回退方案还原tomcat/conf/tomcat-users.xml文件判断依据询问管理员,哪些账号是无效账号实施风险高重要等级备注1.1.3 SHG-Tomcat-01-01-03编号SHG-Tomcat-01-01-03名称密码复杂度实施目的对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。问题影响被暴力破解系统当前状态记录tomcat/conf/tomcat-users.xml文件实施步骤1、参考配置操作 在tomcat/conf/tomcat-user.xml配置

4、文件中设置密码2、补充操作说明口令要求：长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。回退方案还原tomcat/conf/tomcat-users.xml文件判断依据判定条件查看tomcat/conf/tomcat-users.xml文件实施风险高重要等级备注1.1.4 SHG-Tomcat-01-01-04编号SHG-Tomcat-01-01-04名称权限最小化实施目的在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响账号权限越大,对系统的威胁性越高系统当前状态查看tomcat/conf/tomcat-user.xml实施步骤1、参考配置操作编

5、辑tomcat/conf/tomcat-user.xml配置文件，修改用户角色权限 授权tomcat具有远程管理权限：2、补充操作说明1、Tomcat 4.x和5.x版本用户角色分为：role1，tomcat，admin，manager四种。role1：具有读权限；tomcat：具有读和运行权限；admin：具有读、运行和写权限；manager：具有远程管理权限。Tomcat 6.0.18版本只有admin和manager两种用户角色，且admin用户具有manager管理权限。2、Tomcat 4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager

6、管理权限。回退方案还原tomcat/conf/tomcat-user.xml判断依据业务测试正常实施风险高重要等级备注2日志配置2.1.1 SHG-Tomcat-02-01-01编号SHG-Tomcat-02-01-01名称启用日志记录功能实施目的数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。问题影响无法对用户的登陆进行日志记录系统当前状态查看server.xml实施步骤1、参考配置操作编辑server.xml配置文件，在标签中增加记录日志功能将以下内容的注释标记取消2、补充操作说明classname: Thi

7、s MUST be set to org.apache.catalina.valves.AccessLogValve to use the default access log valve. &Factory classname=”org.apache.catalina.SSLServerSocketFactory”clientAuth=”false” keystoreFile=”/path/to/my/keystore” keystorePass=”runway”protocol=”TLS”/Connector其中keystorePass的值为生成keystore时输入的密码(3)重新启动t

8、omcat服务回退方案还原tomcat/conf/server.xml 判断依据1、判定条件查看tomcat/conf/server.xml2、检测操作使用https方式登陆tomcat服务器管理页面实施风险高重要等级备注3.1.2 SHG-Tomcat-03-01-02编号SHG-Tomcat-03-01-02名称更改tomcat服务器默认端口实施目的更改tomcat服务器默认端口,增加系统安全性问题影响不安全性增加系统当前状态查看tomcat/conf/server.xml实施步骤1、参考配置操作（1）修改tomcat/conf/server.xml配置文件，更改默认管理端口到8800 （

9、2）重启tomcat服务回退方案还原tomcat/conf/server.xml判断依据1、判定条件查看tomcat/conf/server.xml2、检测操作登陆http:/ip:8800 实施风险高重要等级备注4设备其他安全要求4.1.1 SHG-Tomcat-04-01-01编号SHG-Tomcat-04-01-01名称登录超时实施目的对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。问题影响被恶意攻击者盗用系统当前状态查看tomcat/conf/server.xml实施步骤参考配置操作编辑tomcat/conf/server.xml配置文件，修改为3

10、0秒回退方案还原tomcat/conf/server.xml判断依据1、判定条件查看tomcat/conf/server.xml2、检测操作登陆tomcat默认页面http:/ip:8080/manager/html ，使用管理账号登陆实施风险高重要等级备注4.1.2 SHG-Tomcat-04-01-02编号SHG-Tomcat-04-01-02名称Tomcat错误页面重定向实施目的更改Tomcat错误页面重定向页面,增加系统安全性问题影响不安全性增加系统当前状态查看tomcat/conf/web.xml实施步骤1、参考配置操作(1)配置tomcat/conf/web.xml文件:在最后一行

11、之前加入以下内容： 404/noFile.htm java.lang.NullPointerException/ error.jsp 第一个之间的配置实现了将404未找到jsp网页的错误导向noFile.htm页面，也可以用类似方法添加其多的错误代码导向页面，如403,500等。第二个之间的配置实现了当jsp网页出现java.lang.NullPointerException导常时，转向error.jsp错误页面，还需要在第个jsp网页中加入以下内容:典型的error.jsp错误页面的程序写法如下:错误页面出错了： 错误信息: Stack Trace is : 当出现NullPointerEx

12、ception异常时tomcat会把网页导入到error.jsp，且会打印出出错信息。回退方案还原tomcat/conf/web.xml判断依据1、判定条件查看tomcat/conf/web.xml2、检测操作URL地址栏中输入http:/ip:8800/manager实施风险高重要等级备注4.1.3 SHG-Tomcat-04-01-03编号SHG-Tomcat-04-01-03名称禁止tomcat列表显示文件实施目的禁止tomcat列表显示文件,增加系统安全性问题影响不安全性增加系统当前状态查看tomcat/conf/web.xml实施步骤1、参考配置操作(1) 编辑tomcat/conf/web.xml配置文件， listings true 把true改成false (2)重新启动tomcat服务回退方案还原tomcat/conf/web.xml判断依据1、判定条件查看tomcat/conf/web.xml2、检测操作直接访问http:/ip:8800/webadd实施风险高重要等级备注