Tomcat系統(tǒng)安全配置基線_第1頁(yè)
Tomcat系統(tǒng)安全配置基線_第2頁(yè)
已閱讀5頁(yè),還剩7頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、Tomcat系統(tǒng)安全配置基線第1章概述11.1目的11.2適用范圍11.3適用版本1第2章賬號(hào)管理、認(rèn)證授權(quán)12.1賬號(hào)12.1.1 用戶帳號(hào)設(shè)置12.1.2刪除或鎖定無(wú)效賬號(hào)22.2認(rèn)證22.2.1密碼復(fù)雜度22.2.2權(quán)限最小化3第3章日志審計(jì)43.1日志審核4第4章其他配置操作54.1.1 登陸超時(shí)退出54.1.2 自定義錯(cuò)誤信息64.1.3 限制訪問(wèn)IP64.1.4 禁止目錄遍歷7第5章持續(xù)改進(jìn)8iiTomcat系統(tǒng)安全配置基線第1章概述1.1目的本文規(guī)定了Tomcat系統(tǒng)應(yīng)當(dāng)遵循的操作安全性設(shè)置標(biāo)準(zhǔn),本文檔旨在指導(dǎo)Tomcat系統(tǒng)管理人員或安全檢查人員進(jìn)行Tomcat系統(tǒng)的安全合規(guī)性

2、檢查和配置。12適用范圍本配置標(biāo)準(zhǔn)的使用者包括:服務(wù)器系統(tǒng)管理員、安全管理員和相關(guān)使用人員。本配置標(biāo)準(zhǔn)適用的范圍包括:Tomcat系統(tǒng)。13適用版本適用于Tomcat。第2章賬號(hào)管理、認(rèn)證授權(quán)2.1賬號(hào)211用戶帳號(hào)設(shè)置安全基線項(xiàng)目名稱為不同的管理員分配不同的號(hào)安全基線項(xiàng)說(shuō)明應(yīng)按照用戶分配賬號(hào),避免不同用戶間共享賬號(hào),提高安全性。檢測(cè)操作步驟1、參考配置操作修改tomcat/conf/tomcat-users.xml配置文件,修改或添加帳號(hào)。userusername二tomcat”password二”Tomcat!234”roles二”admin”2、補(bǔ)充操作說(shuō)明iiTomcat系統(tǒng)安全配置基

3、線1、根據(jù)不同用戶,取不同的名稱。2、Tomcat4.1.37、5.5.27和6.0.18這三個(gè)版本及以后發(fā)行的版本默認(rèn)都不存在admin.xml配置文件?;€符合性判定依據(jù)詢問(wèn)管理員是否安裝需求分配用戶號(hào)備注2.1.2刪除或鎖定無(wú)效賬號(hào)安全基線項(xiàng)目名稱刪除或鎖定無(wú)效賬號(hào)安全基線項(xiàng)說(shuō)明刪除或鎖定無(wú)效的賬號(hào),減少系統(tǒng)安全隱患。檢測(cè)操作步驟參考配置操作修改tomcat/conf/tomcat-users.xml配置文件,刪除與工作無(wú)關(guān)的帳號(hào)。例如tomcat1與運(yùn)行、維護(hù)等工作無(wú)關(guān),刪除帳號(hào):userusername二tomcatl”password二tomcat”roles二admin”基線符合

4、性判定依據(jù)查看配置文件備注2.2認(rèn)證2.2.1密碼復(fù)雜度安全基線項(xiàng)目名稱密碼復(fù)雜度安全基線項(xiàng)對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,口令長(zhǎng)度至少12位,包括數(shù)字、小寫(xiě)字說(shuō)明母、大寫(xiě)字母和特殊符號(hào)4類中至少2類。檢測(cè)操作步驟1、參考配置操作在tomcat/conf/tomcat-user.xml配置文件中設(shè)置密碼vuserusername=”tomcatpassword=Tomcat!234roles=admin2、補(bǔ)充操作說(shuō)明口令要求:長(zhǎng)度至少12位,并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4類中至少2類?;€符合性判定依據(jù)檢查配置文件查看tomcat/conf/tomcat-users.xm1文件策

5、略設(shè)置備注2.2.2權(quán)限最小化安全基線項(xiàng)目名稱權(quán)限最小化安全基線項(xiàng)說(shuō)明在數(shù)據(jù)庫(kù)權(quán)限配置能力內(nèi),根據(jù)用戶的業(yè)務(wù)需要,配置其所需的最小權(quán)限。檢測(cè)操作步驟1、參考配置操作編輯tomcat/conf/tomcat-user.xml配置文件,修改用戶角色權(quán)限授權(quán)tomcat具有遠(yuǎn)程管理權(quán)限:vuserusername=”tomcatpassword=chinamobileroles=admin,manager2、補(bǔ)充操作說(shuō)明1、Tomcat4.x和5.x版本用戶角色分為:rolel,tomcat,admin,manager四種。role1:具有讀權(quán)限;tomcat:具有讀和運(yùn)行權(quán)限;admin:具有讀、

6、運(yùn)彳丁和寫(xiě)權(quán)限;6manager:具有遠(yuǎn)程管理權(quán)限。Tomcat6.0.18版本只有admin和manager兩種用戶角色,且admin用戶具有manager管理權(quán)限。2、Tomcat4.1.37和5.5.27版本及以后發(fā)行的版本默認(rèn)除admin用戶外其他用戶都不具有manager管理權(quán)限?;€符合性查看配置文件策略配置判定依據(jù)業(yè)務(wù)測(cè)試正常備注第3章日志審計(jì)3.1日志審核安全基線項(xiàng)目名稱啟用日志記錄功能安全基線項(xiàng)說(shuō)明應(yīng)配置日志功能,對(duì)用戶登錄進(jìn)行記錄,記錄內(nèi)容包括用戶登錄使用的賬號(hào)、登錄是否成功、登錄時(shí)間以及遠(yuǎn)程登錄時(shí)用戶使用的IP地址。檢測(cè)操作步驟1、參考配置操作編輯server.xml配置

7、文件,在vHOST標(biāo)簽中增加記錄日志功能將以下內(nèi)容的注釋標(biāo)記!-取消vvalveclassname=org.apache.catalina.valves.AccessLogValveDirectory=logsprefix=localhost_access_log.Suffix=.txtPattern=”commonresloveHosts=fhlse/2、補(bǔ)充操作說(shuō)明classname:ThisMUSTbesettoorg.apache.catalina.valves.AccessLogValvetousethedefaultaccesslogvalve.&60Directory:日志文件放

8、置的目錄,在tomcat卜面有個(gè)logs文件夾,那里面是專Tomcat系統(tǒng)安全配置基線門(mén)放置日志文件的,也可以修改為其他路徑;Prefix:這個(gè)是日志文件的名稱前綴,日志名稱為localhost_access_log.2008-10-22.txt,前面的前綴就是這個(gè)基線符合性判定依據(jù)判定條件登錄測(cè)試,檢查相關(guān)信息是否被記錄查看server.xml文件備注第4章其他配置操作411登陸超時(shí)退出安全基線項(xiàng)目名稱登錄超時(shí)安全基線項(xiàng)說(shuō)明對(duì)于具備字符交互界面的設(shè)備,應(yīng)支持定時(shí)賬戶自動(dòng)登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測(cè)操作步驟參考配置操作編輯tomcat/conf/server.xml配置文件,修

9、改為30秒vConnectorport=8080maxHttpHeaderSize=8192maxThreads=150minSpareThreads=25maxSpareThreads=75、enableLookups=falseredirectPort=8443acceptCount=100connectionTimeout=300disableUploadTimeout=true/基線符合性判定依據(jù)1、判定條件查看tomcat/conf/server.xml2、檢測(cè)操作登陸tomcat默認(rèn)頁(yè)面http:/ip:8080/manager/htm1,使用官理賬號(hào)登陸備注5Tomcat系統(tǒng)安全

10、配置基線4.1.2自定義錯(cuò)誤信息安全基線項(xiàng)目名稱自定義錯(cuò)誤信息安全基線項(xiàng)說(shuō)明自定義Tomcat返回的錯(cuò)誤信息檢測(cè)操作步驟修改Tomcat_homewebappsAPP_NAMEWEB-INFweb.xml在最后行之前加入以下內(nèi)容(1)表示出現(xiàn)404未找到網(wǎng)頁(yè)的錯(cuò)誤時(shí)顯示notfound.html頁(yè)面404vlocation/nofound.htmlv/location(2)表示出現(xiàn)java.lang.NullPointerException錯(cuò)誤時(shí)顯示error.jsp頁(yè)面vexception-typejava.Iang.NullPointerExceptionv/exception-typev

11、location/error.jspv/locationv/error-page基線符合性判定依據(jù)查看Tomcat_homewebappsAPP_NAMEWEB-INFweb.xml中verror-page部分的設(shè)置備注413限制訪問(wèn)IP安全基線項(xiàng)目名稱對(duì)敏感目錄的訪問(wèn)IP或主機(jī)名進(jìn)行限制安全基線項(xiàng)說(shuō)明對(duì)敏感目錄的訪問(wèn)IP或主機(jī)名進(jìn)行限制檢測(cè)操作步驟修改Tomcat_homeconfCatalinalocalhostmanager.xml,在Context標(biāo)簽中加入vValveclassName=org.apache.catalina.valves.RemoteAddrValve6Tomcat

12、系統(tǒng)安全配置基線allow=192.168.1.*/或者vValveclassName=org.apache.catalina.valves.RemoteHostValveallow=*/基線符合性判定依據(jù)打開(kāi)Tomcat_homeconfCatalinalocalhostmanager.xml查看是否設(shè)置有IP或主機(jī)名限制備注414禁止目錄遍歷安全基線項(xiàng)目名稱禁止目錄遍歷安全基線項(xiàng)說(shuō)明防止直接訪問(wèn)目錄時(shí)由于找不到默認(rèn)主頁(yè)而列出目錄下文件檢測(cè)操作步驟打開(kāi)Tomcat_homeconfweb.xml,查看listings是否設(shè)置為falsevparam-namelistingsv/param-namevparam-valuefalsev/param-valuev/init-param基線符合性判定依據(jù)檢查T(mén)omcathomeconfweb.xml配置文件中l(wèi)istings的值為false備注415補(bǔ)丁安裝安全基線項(xiàng)目名稱補(bǔ)丁安裝安裝新版本,修補(bǔ)漏洞安全基線項(xiàng)說(shuō)明檢測(cè)操作步驟在http:/httpd.T/下載最新版Tomcat安裝基線符合性進(jìn)入Tomcat_homelogs,打開(kāi)一個(gè)日志文件,例如:7Tomcat系統(tǒng)安全配

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論