Tomcat系统安全配置基线

2022-08-12 07:33:25 文档大全网 [ 字体：小中大 ] [ 阅读： ]

【#文档大全网# 导语】以下是®文档大全网的小编为您整理的《Tomcat系统安全配置基线》，欢迎阅读！
基线,配置,安全,Tomcat,系统
专业资料

WORD完美格式

Tomcat系统安全配置基线

下载可编辑

专业资料

目录

第1章概述 ......................................................................................................................................... 1 1.1 1.2 1.3

目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1

第2章账号管理、认证授权 ............................................................................................................. 1 2.1

账号 ......................................................................................................................................... 1

用户帐号设置 ................................................................................................................. 1

2.1.2 删除或锁定无效账号 ..................................................................................................... 2 2.2 认证 ......................................................................................................................................... 2 2.2.1 密码复杂度 ..................................................................................................................... 2 2.2.2 权限最小化 ..................................................................................................................... 3

第3章日志审计 ................................................................................................................................. 4 3.1

日志审核 ................................................................................................................................. 4

2.1.1

第4章其他配置操作 ......................................................................................................................... 5

4.1.1 4.1.2 4.1.3 4.1.4

登陆超时退出 ................................................................................................................. 5

自定义错误信息 ............................................................................................................. 6 限制访问IP .................................................................................................................... 6 禁止目录遍历 ................................................................................................................. 7

第5章持续改进 ................................................................................................................................. 8

WORD完美格式下载可编辑

专业资料

第1章概述

1.1 目的

本文规定了Tomcat系统应当遵循的操作安全性设置标准，本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。

1.2 适用范围

本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的范围包括： Tomcat系统。

1.3 适用版本

适用于Tomcat。

第2章账号管理、认证授权

2.1 账号

2.1.1 用户帐号设置

安全基线项目名称安全基线项说明检测操作步

骤

1、参考配置操作

修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帐号。 2、补充操作说明

WORD完美格式下载可编辑

为不同的管理员分配不同的号

应按照用户分配账号，避免不同用户间共享账号,提高安全性。

专业资料

1、根据不同用户，取不同的名称。

2、Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。

基线符合性判定依据备注

询问管理员是否安装需求分配用户号

2.1.2 删除或锁定无效账号

安全基线项目名称安全基线项说明检测操作步

骤

参考配置操作

修改tomcat/conf/tomcat-users.xml配置文件，删除与工作无关的帐号。例如tomcat1与运行、维护等工作无关，删除帐号：

基线符合性判定依据备注

查看配置文件

删除或锁定无效的账号，减少系统安全隐患。删除或锁定无效账号

2.2 认证

2.2.1 密码复杂度

安全基线项目名称安全基线项

对于采用静态口令认证技术的设备，口令长度至少12位，包括数字、小写字密码复杂度

WORD完美格式下载可编辑

专业资料

说明检测操作步

骤

母、大写字母和特殊符号4类中至少2类。 1、参考配置操作

在tomcat/conf/tomcat-user.xml配置文件中设置密码

2、补充操作说明

口令要求：长度至少12位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

基线符合性判定依据

检查配置文件

查看tomcat/conf/tomcat-users.xml文件

策略设置

备注

2.2.2 权限最小化

安全基线项目名称安全基线项说明检测操作步

骤

1、参考配置操作

编辑tomcat/conf/tomcat-user.xml配置文件，修改用户角色权限授权tomcat具有远程管理权限：

roles=”admin,manager”> 2、补充操作说明

1、Tomcat 4.x和5.x版本用户角色分为：role1，tomcat，admin，manager四种。

role1：具有读权限； tomcat：具有读和运行权限； admin：具有读、运行和写权限；

在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。权限最小化

WORD完美格式下载可编辑

专业资料

manager：具有远程管理权限。

Tomcat 6.0.18版本只有admin和manager两种用户角色，且admin用户具有manager管理权限。

2、Tomcat 4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。

基线符合性判定依据

查看配置文件策略配置

业务测试正常

备注

第3章日志审计

3.1 日志审核

安全基线项目名称安全基线项说明检测操作步

骤

应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。 1、参考配置操作

编辑server.xml配置文件，在标签中增加记录日志功能将以下内容的注释标记< ! -- -- >取消

Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt” Pattern=”common” resloveHosts=”false”/> 2、补充操作说明

classname: This MUST be set to

org.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60

Directory:日志文件放置的目录，在tomcat下面有个logs文件夹，那里面是专启用日志记录功能

WORD完美格式下载可编辑

专业资料

门放置日志文件的，也可以修改为其他路径； Prefix: 这个是日志文件的名称前缀，日志名称为localhost_access_log.2008-10-22.txt，前面的前缀就是这个

基线符合性判定依据

判定条件

登录测试，检查相关信息是否被记录查看server.xml文件

备注

第4章其他配置操作

4.1.1 登陆超时退出

安全基线项目名称安全基线项说明检测操作步

骤

对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。参考配置操作

编辑tomcat/conf/server.xml配置文件，修改为30秒

port="8080" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75"、

enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="300" disableUploadTimeout="true" />

基线符合性判定依据

1、判定条件

查看tomcat/conf/server.xml 2、检测操作

登陆tomcat默认页面http://ip:8080/manager/html ，使用管理账号登陆

备注

登录超时

WORD完美格式下载可编辑

专业资料

4.1.2 自定义错误信息

安全基线项目名称安全基线项说明检测操作步

骤

修改Tomcat_home\webapps\APP_NAME\WEB-INF\web.xml 在最后一行之前加入以下内容

（1）表示出现404未找到网页的错误时显示notfound.html页面

404 /nofound.html

（2）表示出现java.lang.NullPointerException错误时显示 error.jsp页面

java.lang.NullPointerException / error.jsp

基线符合性判定依据备注

查看Tomcat_home\webapps\APP_NAME\WEB-INF\web.xml中部分的设置

自定义Tomcat返回的错误信息自定义错误信息

4.1.3 限制访问IP

安全基线项目名称安全基线项说明检测操作步

骤

修改Tomcat_home\conf\Catalina\localhost\manager.xml，在Context标签中加入

对敏感目录的访问IP或主机名进行限制对敏感目录的访问IP或主机名进行限制

WORD完美格式下载可编辑

专业资料

allow="192.168.1.*" /> 或者

allow="*.localdomain.com" />

基线符合性判定依据备注

打开Tomcat_home\conf\Catalina\localhost\manager.xml 查看是否设置有IP或主机名限制

4.1.4 禁止目录遍历

安全基线项目名称安全基线项说明检测操作步

骤

打开Tomcat_home\conf\web.xml，查看listings是否设置为false

listings false

基线符合性判定依据备注

检查Tomcat_home\conf\web.xml配置文件中listings的值为false 防止直接访问目录时由于找不到默认主页而列出目录下文件禁止目录遍历

4.1.5 补丁安装

安全基线项目名称安全基线项说明检测操作步

骤基线符合性

进入Tomcat_home\logs，打开一个日志文件，例如：在http://httpd.Tomcat.org/ 下载最新版Tomcat安装安装新版本，修补漏洞补丁安装

WORD完美格式下载可编辑

专业资料

判定依据

catalina.2009-XX-YY.log，可以找到版本信息

2009-6-15 8:00:48 org.apache.catalina.core.StandardEngine start 信息: Starting Servlet Engine: Apache Tomcat/6.0.20 在漏洞库中查询此版本存在的漏洞

备注

第5章持续改进

本文件由XXX定期进行审查，根据审查结果修订标准，并重新颁发执行。

WORD完美格式下载可编辑