Tomcat系統(tǒng)安全配置基線_第1頁
Tomcat系統(tǒng)安全配置基線_第2頁
Tomcat系統(tǒng)安全配置基線_第3頁
Tomcat系統(tǒng)安全配置基線_第4頁
Tomcat系統(tǒng)安全配置基線_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、Tomcat系統(tǒng)安全配置基線 目 錄第1章概述11.1目的11.2適用范圍11.3適用版本1第2章賬號管理、認(rèn)證授權(quán)12.1賬號1用戶帳號設(shè)置1刪除或鎖定無效賬號22.2認(rèn)證2密碼復(fù)雜度2權(quán)限最小化3第3章日志審計43.1日志審核4第4章其他配置操作5登陸超時退出5自定義錯誤信息6限制訪問IP7禁止目錄遍歷7第5章持續(xù)改進(jìn)8第1章 概述1.1 目的本文規(guī)定了Tomcat系統(tǒng)應(yīng)當(dāng)遵循的操作安全性設(shè)置標(biāo)準(zhǔn),本文檔旨在指導(dǎo)Tomcat系統(tǒng)管理人員或安全檢查人員進(jìn)行Tomcat系統(tǒng)的安全合規(guī)性檢查和配置。1.2 適用范圍本配置標(biāo)準(zhǔn)的使用者包括:服務(wù)器系統(tǒng)管理員、安全管理員和相關(guān)使用人員。本配置標(biāo)準(zhǔn)適用

2、的范圍包括: Tomcat系統(tǒng)。1.3 適用版本適用于Tomcat。第2章 賬號管理、認(rèn)證授權(quán)2.1 賬號2.1.1 用戶帳號設(shè)置安全基線項目名稱為不同的管理員分配不同的號安全基線項說明 應(yīng)按照用戶分配賬號,避免不同用戶間共享賬號,提高安全性。檢測操作步驟1、參考配置操作 修改tomcat/conf/tomcat-users.xml配置文件,修改或添加帳號。 <user username=”tomcat” password=” Tomcat!234” roles=”admin”> 2、補充操作說明 1、根據(jù)不同用戶,取不同的名稱。 2、Tomcat 4.1.37、5.5.27和6.

3、0.18這三個版本及以后發(fā)行的版本默認(rèn)都不存在admin.xml配置文件?;€符合性判定依據(jù)詢問管理員是否安裝需求分配用戶號備注 2.1.2 刪除或鎖定無效賬號安全基線項目名稱刪除或鎖定無效賬號安全基線項說明 刪除或鎖定無效的賬號,減少系統(tǒng)安全隱患。檢測操作步驟參考配置操作 修改tomcat/conf/tomcat-users.xml配置文件,刪除與工作無關(guān)的帳號。 例如tomcat1與運行、維護(hù)等工作無關(guān),刪除帳號: <user username=”tomcat1” password=”tomcat” roles=”admin”>基線符合性判定依據(jù)查看配置文件備注2.2 認(rèn)證2.

4、2.1 密碼復(fù)雜度安全基線項目名稱密碼復(fù)雜度安全基線項說明 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,口令長度至少12位,包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類。檢測操作步驟1、參考配置操作 在tomcat/conf/tomcat-user.xml配置文件中設(shè)置密碼 <user username=”tomcat” password=”Tomcat!234” roles=”admin”> 2、補充操作說明 口令要求:長度至少12位,并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類?;€符合性判定依據(jù)檢查配置文件查看tomcat/conf/tomcat-users.xml文件

5、 策略設(shè)置備注2.2.2 權(quán)限最小化安全基線項目名稱權(quán)限最小化安全基線項說明 在數(shù)據(jù)庫權(quán)限配置能力內(nèi),根據(jù)用戶的業(yè)務(wù)需要,配置其所需的最小權(quán)限。檢測操作步驟1、參考配置操作 編輯tomcat/conf/tomcat-user.xml配置文件,修改用戶角色權(quán)限 授權(quán)tomcat具有遠(yuǎn)程管理權(quán)限: <user username=”tomcat” password=”chinamobile” roles=”admin,manager”> 2、補充操作說明 1、Tomcat 4.x和5.x版本用戶角色分為:role1,tomcat,admin,manager四種。 role1:具有讀權(quán)限;

6、 tomcat:具有讀和運行權(quán)限; admin:具有讀、運行和寫權(quán)限; manager:具有遠(yuǎn)程管理權(quán)限。 Tomcat 6.0.18版本只有admin和manager兩種用戶角色,且admin用戶具有manager管理權(quán)限。 2、Tomcat 4.1.37和5.5.27版本及以后發(fā)行的版本默認(rèn)除admin用戶外其他用戶都不具有manager管理權(quán)限?;€符合性判定依據(jù)查看配置文件策略配置業(yè)務(wù)測試正常備注第3章 日志審計3.1 日志審核安全基線項目名稱啟用日志記錄功能安全基線項說明 應(yīng)配置日志功能,對用戶登錄進(jìn)行記錄,記錄內(nèi)容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠(yuǎn)程登錄時用戶使用

7、的IP地址。檢測操作步驟1、參考配置操作 編輯server.xml配置文件,在<HOST>標(biāo)簽中增加記錄日志功能 將以下內(nèi)容的注釋標(biāo)記< ! - - >取消 <valve classname=”org.apache.catalina.valves.AccessLogValve” Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt” Pattern=”common” resloveHosts=”false”/> 2、補充操作說明 classname: This MUST be set to

8、org.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60 Directory:日志文件放置的目錄,在tomcat下面有個logs文件夾,那里面是專門放置日志文件的,也可以修改為其他路徑; Prefix: 這個是日志文件的名稱前綴,日志名稱為localhost_access_log.2008-10-22.txt,前面的前綴就是這個基線符合性判定依據(jù)判定條件 登錄測試,檢查相關(guān)信息是否被記錄 查看server.xml文件備注第4章 其他配置操作4.1.1 登陸超時退出安全基線

9、項目名稱登錄超時安全基線項說明 對于具備字符交互界面的設(shè)備,應(yīng)支持定時賬戶自動登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測操作步驟參考配置操作 編輯tomcat/conf/server.xml配置文件,修改為30秒 <Connector port="8080" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75"、 enableLookups="false"

10、 redirectPort="8443" acceptCount="100" connectionTimeout="300" disableUploadTimeout="true" />基線符合性判定依據(jù)1、判定條件 查看tomcat/conf/server.xml 2、檢測操作 登陸tomcat默認(rèn)頁面http:/ip:8080/manager/html ,使用管理賬號登陸備注4.1.2 自定義錯誤信息安全基線項目名稱自定義錯誤信息安全基線項說明 自定義Tomcat返回的錯誤信息檢測操作步驟修改Tomcat

11、_homewebappsAPP_NAMEWEB-INFweb.xml在最后</web-app>一行之前加入以下內(nèi)容(1)表示出現(xiàn)404未找到網(wǎng)頁的錯誤時顯示notfound.html頁面<error-page> <error-code>404</error-code><location>/nofound.html</location> </error-page>(2)表示錯誤時顯示 error.jsp頁面<error-page><exception-type>java.lang.Null

12、PointerException</exception-type><location>/ error.jsp</location> </error-page>基線符合性判定依據(jù)查看Tomcat_homewebappsAPP_NAMEWEB-INFweb.xml中<error-page> </error-page> 部分的設(shè)置備注4.1.3 限制訪問IP安全基線項目名稱對敏感目錄的訪問IP或主機(jī)名進(jìn)行限制安全基線項說明 對敏感目錄的訪問IP或主機(jī)名進(jìn)行限制檢測操作步驟修改Tomcat_homeconfCatalinaloca

13、lhostmanager.xml,在Context標(biāo)簽中加入<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="192.168.1.*" />或者<Valve className="org.apache.catalina.valves.RemoteHostValve" allow="*" />基線符合性判定依據(jù)打開Tomcat_homeconfCatalinalocalhostmanager.xml查看是否

14、設(shè)置有IP或主機(jī)名限制備注4.1.4 禁止目錄遍歷安全基線項目名稱禁止目錄遍歷安全基線項說明 防止直接訪問目錄時由于找不到默認(rèn)主頁而列出目錄下文件檢測操作步驟打開Tomcat_homeconfweb.xml,查看listings是否設(shè)置為false<init-param> <param-name>listings</param-name> <param-value>false</param-value></init-param>基線符合性判定依據(jù)檢查Tomcat_homeconfweb.xml配置文件中l(wèi)istings的值為false備注4.1.5 補丁安裝安全基線項目名稱補丁安裝安全基線項說明 安裝新版本,修補漏洞檢測操作步驟在http:/httpd.T/ 下載最新版Tomcat安裝基線符合性判定依

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論