Tomcat安全配置規範

第1章 帳號管理、認證受權

1.1 帳號

1.1.1 共享賬號管理

安全基線項目名稱	Tomcat共享賬號管理安全基線要求項
安全基線編號	SBL-Tomcat-01-01-01
安全基線項說明	應按照用戶分配帳號。避免不一樣用戶間共享帳號。避免用戶帳號和設備間通訊使用的帳號共享。
檢測操做步驟	1、參考配置操做 修改tomcat/conf/tomcat-users.xml配置文件，修改或添加賬號。 <user username=」tomcat7admin」 password=」sinoTn@1234」 roles=」manager-gui」> 2、補充操做說明 1、根據不一樣用戶，取不一樣的名稱。 2、Tomcat 4.1.37、5.5.27和6.0.18這三個版本及之後發行的版本默認都不存在admin.xml配置文件。
基線符合性斷定依據	1、斷定條件 各帳號均可以登陸Tomcat Web服務器爲正常 2、檢測操做 訪問http://ip:8080/manager/html管理頁面，進行Tomcat服務器管理
備註

 

1.1.2 無關賬號管理

安全基線項目名稱	Tomcat無關賬號管理安全基線要求項
安全基線編號	SBL-Tomcat-01-01-02
安全基線項說明	應刪除或鎖定與設備運行、維護等工做無關的帳號。
檢測操做步驟	1、參考配置操做 修改tomcat/conf/tomcat-users.xml配置文件，刪除與工做無關的賬號。 例如tomcat1與運行、維護等工做無關，刪除賬號： <user username=」tomcat7admin」 password=」tomcat」 roles=」admin」>
基線符合性斷定依據	1、斷定條件 被刪除的與工做無關的帳號tomcat1不能正常登錄。 2、檢測操做 訪問http://ip:8080/manager/html管理頁面，使用刪除賬號進行登錄嘗試。
備註	系統無此帳號

 

1.2 口令

1.2.1 密碼複雜度

安全基線項目名稱	Tomcat密碼複雜度安全基線要求項
安全基線編號	SBL-Tomcat-01-02-01
安全基線項說明	對於採用靜態口令認證技術的設備，口令長度至少8位，幷包括數字、小寫字母、大寫字母和特殊符號4類中至少2類。
檢測操做步驟	1、參考配置操做  在tomcat/conf/tomcat-user.xml配置文件中設置密碼 <user username=」tomcat」 password=」sinoTn@1234」 roles=」admin」> 2、補充操做說明 口令要求：長度至少8位，幷包括數字、小寫字母、大寫字母和特殊符號4類中至少2類。
基線符合性斷定依據	1、斷定條件 檢查tomcat/conf/tomcat-user.xml配置文件中的賬號口令是否符合口令複雜度要求。 2、檢測操做 （1）人工檢查配置文件中賬號口令是否符合； （2）使用tomcat弱口令掃描工具按期對Tomcat Web服務器進行遠程掃描，檢查是否存在弱口令賬號。 3、補充說明 對於使用弱口令掃描工具進行檢查時應注意掃描的線程數等方面，避免對服務器形成沒必要要的資源消耗；選擇在服務器負荷較低的時間段進行掃描檢查。
備註

 

1.2.2 密碼歷史

安全基線項目名稱	Tomcat密碼歷史安全基線要求項
安全基線編號	SBL-Tomcat-01-02-02
安全基線項說明	對於採用靜態口令認證技術的設備，應支持按天配置口令生存期功能，賬號口令的生存期不長於90天。
檢測操做步驟	1、參考配置操做 按期對管理Tomcat Web服務器的賬號口令進行修改，間隔不長於90天。
基線符合性斷定依據	1、斷定條件 90天后使用原賬號口令進行登錄嘗試，登陸不成功； 2、檢測操做 使用超過90天的賬號口令進行登陸嘗試；
備註

 

1.3 受權

1.3.1 用戶權利指派

安全基線項目名稱	Tomcat用戶權利指派安全基線要求項
安全基線編號	SBL-Tomcat-01-03-01
安全基線項說明	在設備權限配置能力內，根據用戶的業務須要，配置其所需的最小權限。
檢測操做步驟	1、參考配置操做 編輯tomcat/conf/tomcat-user.xml配置文件，修改用戶角色權限 受權tomcat具備遠程管理權限： <user username=」tomcat」 password=」sinoTn@1234」  roles=」manager-gui」> 2、補充操做說明 一、Tomcat 4.x和5.x版本用戶角色分爲：role1，tomcat，admin，manager四種。 role1：具備讀權限； tomcat：具備讀和運行權限； admin：具備讀、運行和寫權限； manager：具備遠程管理權限。 Tomcat 6.0.18版本只有admin和manager兩種用戶角色，且admin用戶具備manager管理權限。 2、Tomcat 4.1.37和5.5.27版本及之後發行的版本默認除admin用戶外其餘用戶都不具備manager管理權限。
基線符合性斷定依據	1、斷定條件 登錄遠程管理頁面，使用tomcat帳號進行登錄，登錄成功。 2、檢測操做 登錄http://ip:8080/manager/html頁面，使用tomcat帳號登錄，進行遠程管理。
備註	admin權限

 

第2章 日誌配置操做

2.1 日誌配置

2.1.1 審覈登陸

安全基線項目名稱	Tomcat審覈登陸安全基線要求項
安全基線編號	SBL-Tomcat-02-01-01
安全基線項說明	設備應配置日誌功能，對用戶登陸進行記錄，記錄內容包括用戶登陸使用的帳號，登陸是否成功，登陸時間，以及遠程登陸時，用戶使用的IP地址。
檢測操做步驟	1、參考配置操做 編輯server.xml配置文件，在<HOST>標籤中增長記錄日誌功能 將如下內容的註釋標記< ! --    -- >取消 <valve classname=」org.apache.catalina.valves.AccessLogValve」 Directory=」logs」 Prefix=」localhost_access_log.」 Suffix=」.txt」 Pattern=」common」 resloveHosts=」false」/> 2、補充操做說明 classname: This MUST be set to  org.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60 Directory:日誌文件放置的目錄，在tomcat下面有個logs文件夾，那裏面是專門放置日誌文件的，也能夠修改爲其餘路徑； Prefix: 這個是日誌文件的名稱前綴，日誌名稱爲localhost_access_log.2008-10-22.txt，前面的前綴就是這個localhost_access_log Suffix: 文件後綴名 Pattern: common方式時，將記錄訪問源IP、本地服務器IP、記錄日誌服務器IP、訪問方式、發送字節數、本地接收端口、訪問URL地址等相關信息在日誌文件中 resolveHosts:值爲true時，tomcat會將這個服務器IP地址經過DNS轉換爲主機名，若是是false，就直接寫服務器IP地址
基線符合性斷定依據	1、斷定條件 查看logs目錄中相關日誌文件內容，記錄完整 2、檢測操做 查看localhost_access_log.2008-10-22.log中相關日誌記錄 3、補充說明
備註

 

第3章 IP協議安全配置

3.1 IP協議

3.1.1 支持加密協議

安全基線項目名稱	Tomcat支持加密協議安全基線要求項
安全基線編號	SBL-Tomcat-03-01-01
安全基線項說明	對於經過HTTP協議進行遠程維護的設備，設備應支持使用HTTPS等加密協議。
檢測操做步驟	1、參考配置操做 (1)使用JDK自帶的keytool工具生成一個證書 JAVA_HOME/bin/keytool  -genkey –alias tomcat –keyalg  RSA -keystore /path/to/my/keystore (2)修改tomcat/conf/server.xml配置文件，更改成使用https方式，增長以下行： Connector classname=」org.apache.catalina.http.HttpConnector」  port=」8443」  minProcessors=」5」  maxprocessors=」100」  enableLookups=」true」  acceptCount=」10」  debug=」0」 scheme=」https」 secure=」true」 > Factory classname=」org.apache.catalina.SSLServerSocketFactory」 clientAuth=」false」  keystoreFile=」/path/to/my/keystore」  keystorePass=」runway」 protocol=」TLS」/> /Connector> 其中keystorePass的值爲生成keystore時輸入的密碼 (3)從新啓動tomcat服務
基線符合性斷定依據	1、斷定條件 使用https方式登錄tomcat服務器頁面，登錄成功 2、檢測操做 使用https方式登錄tomcat服務器管理頁面
備註	使用http協議，無加密

 

第4章 設備其餘配置操做

4.1 安全管理

4.1.1 定時登出

安全基線項目名稱	Tomcat定時登出安全基線要求項
安全基線編號	SBL-Tomcat-04-01-01
安全基線項說明	對於具有字符交互界面的設備，應支持定時帳戶自動登出。登出後用戶需再次登陸才能進入系統。
檢測操做步驟	1、參考配置操做 編輯tomcat/conf/server.xml配置文件，修改成30秒 <Connector port="8088"  ="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75"、 enableLookups="false" redirectPort="8443" acceptCount="100"  connectionTimeout="300" disableUploadTimeout="true" />  2、補充操做說明
基線符合性斷定依據	1、斷定條件 30秒自動登出。 2、檢測操做 登錄tomcat默認頁面http://ip:8080/manager/html ，使用管理帳號登錄 3、補充說明
備註

 

4.1.2 更改默認端口

安全基線項目名稱	Tomcat運行端口安全基線要求項
安全基線編號	SBL-Tomcat-04-01-02
安全基線項說明	更改tomcat服務器默認端口
檢測操做步驟	1、參考配置操做 （1）修改tomcat/conf/server.xml配置文件，更改默認管理端口到8080  <Connector port="8080"  maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75"、 enableLookups="false" redirectPort="8443" acceptCount="100"  connectionTimeout="300" disableUploadTimeout="true" /> （2）重啓tomcat服務  2、補充操做說明
基線符合性斷定依據	1、斷定條件 使用8088端口登錄頁面成功 2、檢測操做 登錄http://ip:8080 3、補充說明
備註

 

4.1.3 錯誤頁面處理

安全基線項目名稱	Tomcat錯誤頁面安全基線要求項
安全基線編號	SBL-Tomcat-04-01-03
安全基線項說明	Tomcat錯誤頁面重定向
檢測操做步驟	1、參考配置操做(1)查看tomcat/conf/web.xml文件: <error-page> <error-code>404</error-code> <location>/404.html</location> </error-page> …………… <error-page> <exception-type>java.lang.Exception</exception-type> <location>/ error.html</location> </error-page>
基線符合性斷定依據	一、 斷定條件 要求包含以下片斷：
備註

 

4.1.4 目錄列表訪問限制

安全基線項目名稱	Tomcat目錄列表安全基線要求項
安全基線編號	SBL-Tomcat-04-01-04
安全基線項說明	禁止tomcat列表顯示文件
檢測操做步驟	1、參考配置操做 (1) 編輯tomcat/conf/web.xml配置文件， <init-param>         <param-name>listings</param-name>         <param-value>true</param-value>     </init-param> 把true改爲false  (2)從新啓動tomcat服務
基線符合性斷定依據	1、斷定條件 當WEB目錄中沒有默認首頁如index.html,index.jsp等文件時，不會列出目錄內容 2、檢測操做 直接訪問http://ip:8080/webadd
備註