Tomcat Web服務器安全配置基線

1、Tomcat Web 服務器安全配置基線 第 1 頁 共 13 頁TomcatTomcat WebWeb 服務器安全配置基線服務器安全配置基線Tomcat Web 服務器安全配置基線 第 2 頁 共 13 頁版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人審批人審批人V1.0創(chuàng)建2009 年 1 月V2.0更新2012 年 4 月備注：備注：1. 若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。Tomcat Web 服務器安全配置基線 第 3 頁 共 13 頁目目 錄錄第第 1 章章概述概述.41.1目的.41.2適用范圍.41.3適用版本.41.4實施.41

2、.5例外條款.4第第 2 章章帳號管理、認證授權帳號管理、認證授權.52.1帳號.52.1.1共享帳號管理*.52.1.2無關帳號管理*.52.2口令.62.2.1密碼復雜度.62.2.2密碼生存期.72.3授權.72.3.1用戶權利指派*.7第第 3 章章日志配置操作日志配置操作.93.1日志配置.93.1.1審核登錄.9第第 4 章章IP 協(xié)議安全配置協(xié)議安全配置 .104.1IP 協(xié)議.104.1.1支持加密協(xié)議*.10第第 5 章章設備其他配置操作設備其他配置操作.115.1安全管理.115.1.1定時登出.115.1.2錯誤頁面處理.115.1.3目錄列表訪問限制.12第第 6 章章

3、評審與修訂評審與修訂.14Tomcat Web 服務器安全配置基線 第 4 頁 共 13 頁第第 1 章章概述概述1.1目的目的本文檔旨在指導系統(tǒng)管理人員進行 Tomcat WEB 服務器的安全配置。1.2適用范圍適用范圍本配置標準的使用者包括：服務器系統(tǒng)管理員、應用管理員、網(wǎng)絡安全管理員。1.3適用版本適用版本4.x、5.x、6.x 版本的 Tomcat Web 服務器。1.4實施實施1.5例外條款例外條款第第 2 章章帳號管理、認證授權帳號管理、認證授權2.1帳號帳號2.1.1 共享帳號管理共享帳號管理*安全基線項安全基線項目名稱目名稱Tomcat 共享帳號管理安全基線要求項安全基線編安全

4、基線編號號SBL-Tomcat-02-01-01 Tomcat Web 服務器安全配置基線 第 5 頁 共 13 頁安全基線項安全基線項說明說明 應按照用戶分配帳號。避免不同用戶間共享帳號。避免用戶帳號和設備間通信使用的帳號共享。檢測操作步檢測操作步驟驟1、參考配置操作、參考配置操作修改 tomcat/conf/tomcat-users.xml 配置文件，修改或添加帳號。2、補充操作說明、補充操作說明1、根據(jù)不同用戶，取不同的名稱。2、Tomcat 4.1.37、5.5.27 和 6.0.18 這三個版本及以后發(fā)行的版本默認都不存在 admin.xml 配置文件?；€符合性基線符合性判定依據(jù)判

5、定依據(jù)1、判定條件、判定條件各帳號都可以登錄 Tomcat Web 服務器為正常2、檢測操作、檢測操作訪問 http:/ip:8080/manager/html 管理頁面，進行 Tomcat 服務器管理備注備注手工檢查2.1.2 無關帳號管理無關帳號管理*安全基線項安全基線項目名稱目名稱Tomcat 無關帳號管理安全基線要求項安全基線編安全基線編號號SBL-Tomcat-02-01-02 安全基線項安全基線項說明說明 應刪除或鎖定與設備運行、維護等工作無關的帳號。檢測操作步檢測操作步驟驟1、參考配置操作、參考配置操作修改 tomcat/conf/tomcat-users.xml 配置文件，刪除

6、與工作無關的帳號。例如 tomcat1 與運行、維護等工作無關，刪除帳號：基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件、判定條件被刪除的與工作無關的帳號 tomcat1 不能正常登陸。2、檢測操作、檢測操作訪問 http:/ip:8080/manager/html 管理頁面，使用刪除帳號進行登陸嘗試。備注備注手工檢查Tomcat Web 服務器安全配置基線 第 6 頁 共 13 頁2.2口令口令2.2.1 密碼復雜度密碼復雜度安全基線項安全基線項目名稱目名稱Tomcat 密碼復雜度安全基線要求項安全基線編安全基線編號號SBL-Tomcat-02-02-01 安全基線項安全基線項說明說明 對

7、于采用靜態(tài)口令認證技術的設備，口令長度至少 8 位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且 5 次以內(nèi)不得設置相同的口令。檢測操作步檢測操作步驟驟1、參考配置操作、參考配置操作 在 tomcat/conf/tomcat-user.xml 配置文件中設置密碼2、補充操作說明、補充操作說明口令要求：口令長度至少 8 位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且 5 次以內(nèi)不得設置相同的口令?；€符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件、判定條件檢查 tomcat/conf/tomcat-user.xml 配置文件中的帳號口令是否符合口令復雜度要求。2、檢測

8、操作、檢測操作（1）人工檢查配置文件中帳號口令是否符合；（2）使用 tomcat 弱口令掃描工具定期對 Tomcat Web 服務器進行遠程掃描，檢查是否存在弱口令帳號。3、補充說明、補充說明對于使用弱口令掃描工具進行檢查時應注意掃描的線程數(shù)等方面，避免對服務器造成不必要的資源消耗；選擇在服務器負荷較低的時間段進行掃描檢查。備注備注2.2.2 密碼生存期密碼生存期安全基線項安全基線項目名稱目名稱Tomcat 密碼生存期安全基線要求項安全基線編安全基線編號號SBL-Tomcat-02-02-02 安全基線項安全基線項說明說明 對于采用靜態(tài)口令認證技術的設備，應支持按天配置口令生存期功能，帳號口令

9、的生存期不長于 90 天。檢測操作步檢測操作步驟驟1、參考配置操作、參考配置操作定期對管理 Tomcat Web 服務器的帳號口令進行修改，間隔不長于 90 天。Tomcat Web 服務器安全配置基線 第 7 頁 共 13 頁基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件、判定條件90 天后使用原帳號口令進行登陸嘗試，登錄不成功；2、檢測操作、檢測操作使用超過 90 天的帳號口令進行登錄嘗試；備注備注2.3授權授權2.3.1 用戶權利指派用戶權利指派*安全基線項安全基線項目名稱目名稱Tomcat 用戶權利指派安全基線要求項安全基線編安全基線編號號SBL-Tomcat-02-03-01 安全

10、基線項安全基線項說明說明 在設備權限配置能力內(nèi)，根據(jù)用戶的業(yè)務需要，配置其所需的最小權限。檢測操作步檢測操作步驟驟1、參考配置操作、參考配置操作編輯 tomcat/conf/tomcat-user.xml 配置文件，修改用戶角色權限 授權 tomcat 具有遠程管理權限：2、補充操作說明、補充操作說明1、Tomcat 4.x 和 5.x 版本用戶角色分為：role1，tomcat，admin，manager 四種。role1：具有讀權限；tomcat：具有讀和運行權限；admin：具有讀、運行和寫權限；manager：具有遠程管理權限。Tomcat 6.0.18 版本只有 admin 和 ma

11、nager 兩種用戶角色，且 admin 用戶具有manager 管理權限。2、Tomcat 4.1.37 和 5.5.27 版本及以后發(fā)行的版本默認除 admin 用戶外其他用戶都不具有 manager 管理權限?；€符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件、判定條件登陸遠程管理頁面，使用 tomcat 帳號進行登陸，登陸成功。2、檢測操作、檢測操作登陸 http:/ip:8080/manager/html 頁面，使用 tomcat 帳號登陸，進行遠程管理。 備注備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。Tomcat Web 服務器安全配置基線 第 8 頁 共 13

12、 頁第第 3 章章日志日志配置操作配置操作3.1日志配置日志配置3.1.1 審核登錄審核登錄安全基線項安全基線項目名稱目名稱Tomcat 審核登錄安全基線要求項安全基線編安全基線編號號SBL-Tomcat-03-01-01 安全基線項安全基線項說明說明 設備應配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的帳號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的 IP 地址。檢測操作步檢測操作步驟驟1、參考配置操作、參考配置操作編輯 server.xml 配置文件，在標簽中增加記錄日志功能將以下內(nèi)容的注釋標記取消2、補充操作說明、補充操作說明classname: This MUST

13、 be set to org.apache.catalina.valves.AccessLogValve to use the default access log valve. &Factory classname=”org.apache.catalina.SSLServerSocketFactory”clientAuth=”false” keystoreFile=”/path/to/my/keystore” keystorePass=”runway”protocol=”TLS”/Connector其中 keystorePass 的值為生成 keystore 時輸入的密碼(3)重新啟

14、動 tomcat 服務基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件、判定條件使用 https 方式登陸 tomcat 服務器頁面，登陸成功2、檢測操作、檢測操作使用 https 方式登陸 tomcat 服務器管理頁面?zhèn)渥渥⒏鶕?jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。Tomcat Web 服務器安全配置基線 第 10 頁 共 13 頁第第 5 章章設備其他配置操作設備其他配置操作5.1安全管理安全管理5.1.1 定時登出定時登出安全基線項安全基線項目名稱目名稱Tomcat 定時登出安全基線要求項安全基線編安全基線編號號SBL-Tomcat-05-01-01 安全基線項安全基

15、線項說明說明 對于具備字符交互界面的設備，應支持定時賬戶自動登出。登出后用戶需再次登錄才能進入系統(tǒng)。檢測操作步檢測操作步驟驟1、參考配置操作、參考配置操作編輯 tomcat/conf/server.xml 配置文件，修改為 300 秒 2、補充操作說明、補充操作說明基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件、判定條件300 秒自動登出。 2、檢測操作、檢測操作登陸 tomcat 默認頁面 http:/ip:8080/manager/html ，使用管理帳號登陸3、補充說明、補充說明備注備注5.1.2 錯誤頁面處理錯誤頁面處理安全基線項安全基線項目名稱目名稱Tomcat 錯誤頁面安全基線要

16、求項安全基線編安全基線編號號SBL-Tomcat-05-01-02 安全基線項安全基線項說明說明 Tomcat 錯誤頁面重定向Tomcat Web 服務器安全配置基線 第 11 頁 共 13 頁檢測操作步檢測操作步驟驟1、參考配置操作、參考配置操作(1)查看 tomcat/conf/web.xml 文件: 404/noFile.htm java.lang.NullPointerException/ error.jsp 基線符合性基線符合性判定依據(jù)判定依據(jù)1、 判定條件判定條件要求包含如下片段：備注備注5.1.3 目錄列表訪問限制目錄列表訪問限制安全基線項安全基線項目名稱目名稱Tomcat 目錄列表安全基線要求項安全基線編安全基線編號號SBL-Tomcat-05-01-03 安全基線項安全基線項說明說明 禁止 tomcat 列表顯示文件檢測操作步檢測操作步驟驟1、參考配置操作、參考配置操作(1) 編輯 tomcat/conf/web.xml