TomcatWeb服務(wù)器安全配置基線

1、Tomcat Web 服務(wù)器安全配置基線中國移動通信有限公司 管理信息系統(tǒng)部2012年 04 月版本版本控制信息|更新日期更新人審批人V1.0創(chuàng)建2009年1月V2.0更新2012年4月備注:1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目錄第 1 章概述 41.1 目的 41.2 適用范圍 41.3 適用版本 41.4 實施 41.5 例外條款 4第 2 章帳號管理、認(rèn)證授權(quán) 52.1 帳號 52.1.1 共享帳號管理* 52.1.2 無關(guān)帳號管理* 52.2 口令 62.2.1 密碼復(fù)雜度 62.2.2 密碼生存期 72.3授權(quán) 72.3.1 用戶權(quán)利指派* 7

2、第 3 章日志配置操作 93.1 日志配置 93.1.1 審核登錄 9第 4 章 IP 協(xié)議安全配置 104.1 IP 協(xié)議 104.1.1 支持加密協(xié)議 * 10第 5 章 設(shè)備其他配置操作 115.1 安全管理 115.1.1 定時登出 115.1.2 錯誤頁面處理 115.1.3 目錄列表訪問限制 12第 6 章 評審與修訂 14第 1章 概述1.1 目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的 Tomcat WEB 服 務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)， 本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行 Tomcat WEB 服務(wù)器的 安全配置。1.2 適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服

3、務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。 本配置標(biāo)準(zhǔn)適用的范圍包括：支持中國移動集團(tuán)公司管理信息系統(tǒng)部運行的 Tomcat Web 服務(wù)器系統(tǒng)。1.3 適用版本4.x、 5.x、 6.x 版本的 Tomcat Web 服務(wù)器。1.4 實施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團(tuán)管理信息系統(tǒng)部， 在本標(biāo)準(zhǔn)的執(zhí)行過程中若 有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5 例外條款欲申請本標(biāo)準(zhǔn)的例外條款， 申請人必須準(zhǔn)備書面申請文件， 說明業(yè)務(wù)需求和原因， 送交 中國移動通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。第2章帳號管理、認(rèn)證授權(quán)2.1 帳號共享帳號管理*安全基線項 目名稱Tomca

4、t共享帳號管理安全基線要求項安全基線編 號SBL-Tomcat-02-01-01安全基線項 說明應(yīng)按照用戶分配帳號。避免不冋用戶間共享帳號。避免用戶帳號和設(shè)備間通 信使用的帳號共享。檢測操作步 驟1、參考配置操作修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帳號。<user username=”omcat" password=” Tomcat!234" roles= "admin">2、補(bǔ)充操作說明1、根據(jù)不同用戶，取不同的名稱。2、和這三個版本及以后發(fā)行的版本默認(rèn)都不存 在admin.xml配置文件?；€符

5、合性 判定依據(jù)1、判定條件各帳號都可以登錄 Tomcat Web服務(wù)器為正常2、檢測操作訪冋http:/ip:8080/manager/html管理頁面，進(jìn)仃 Tomcat服務(wù)器管理備注手工檢查無關(guān)帳號管理*安全基線項 目名稱Tomcat無關(guān)帳號管理安全基線要求項安全基線編 號SBL-Tomcat-02-01-02安全基線項 說明應(yīng)刪除或鎖定與設(shè)備運行、維護(hù)等工作無關(guān)的帳號。檢測操作步 驟1、參考配置操作修改tomcat/conf/tomcat-users.xml配置文件，刪除與工作無關(guān)的帳號。例如tomcatl與運行、維護(hù)等工作無關(guān)，刪除帳號：<user username=”omcat

6、1 ” password= "tomcat" roles= "admin">基線符合性 判定依據(jù)1、判定條件被刪除的與工作無關(guān)的帳號tomcat1不能正常登陸。2、檢測操作訪冋http:/ip:8080/manager/html管理頁面，使用刪除帳號進(jìn)仃登陸嘗試。備注手工檢查2.2 口令密碼復(fù)雜度安全基線項 目名稱Tomcat密碼復(fù)雜度安全基線要求項安全基線編 號SBL-Tomcat-02-02-01安全基線項 說明對于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少 8位，并包括數(shù)字、小寫 字母、大寫字母和特殊符號四類中至少兩類。且 5次以內(nèi)不得設(shè)置相同

7、的口 令。檢測操作步 驟1、參考配置操作在tomcat/conf/tomcat-user.xml配置文件中設(shè)置密碼<user username=”omcat" password="Tomcat!234" roles= "admin ">2、補(bǔ)充操作說明口令要求：口令長度至少8位，并包括數(shù)字、小與字母、大與字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令?；€符合性 判定依據(jù)1、判定條件檢查tomcat/conf/tomcat-user.xml配置文件中的帳號口令是否符合移動通過配 置口令復(fù)雜度要求。2、檢測操作(1) 人工

8、檢查配置文件中帳號口令是否符合；(2) 使用tomcat弱口令掃描工具定期對 Tomcat Web服務(wù)器進(jìn)行遠(yuǎn)程掃描， 檢查是否存在弱口令帳號。3、補(bǔ)充說明對于使用弱口令掃描工具進(jìn)行檢查時應(yīng)注意掃描的線程數(shù)等方面，避免對服 務(wù)器造成不必要的資源消耗；選擇在服務(wù)器負(fù)荷較低的時間段進(jìn)行掃描檢查。備注密碼生存期安全基線項 目名稱Tomcat密碼生存期安全基線要求項安全基線編 號SBL-Tomcat-02-02-02安全基線項 說明對于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)支持按天配置口令生存期功能，帳號口令的生存期不長于 90天。檢測操作步 驟1、參考配置操作定期對管理Tomcat Web服務(wù)器的帳號口令進(jìn)

9、行修改，間隔不長于90天?；€符合性 判定依據(jù)1、判定條件90天后使用原帳號口令進(jìn)行登陸嘗試，登錄不成功；2、檢測操作使用超過90天的帳號口令進(jìn)行登錄嘗試；備注2.3 授權(quán)用戶權(quán)利指派*安全基線項 目名稱Tomcat用戶權(quán)利指派安全基線要求項安全基線編 號SBL-Tomcat-02-03-01安全基線項 說明在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。檢測操作步 驟1、參考配置操作編輯tomcat/conf/tomcat-user.xml配置文件，修改用戶角色權(quán)限授權(quán)tomcat具有遠(yuǎn)程管理權(quán)限：<user username=”omcat" password

10、="chinamobile ” roles= "adm in,man ager">2、補(bǔ)充操作說明1、Tomcat 4.x 和 5.x 版本用戶角色分為：role1, tomcat, admin, manager 四種。role1 :具有讀權(quán)限;tomcat:具有讀和運行權(quán)限；admin:具有讀、運行和寫權(quán)限； manager：具有遠(yuǎn)程管理權(quán)限。版本只有 admin和manager兩種用戶角色，且 admin用戶具有 man ager管理權(quán)限。2、和版本及以后發(fā)行的版本默認(rèn)除admin用戶外其他用戶都不具有manager管理權(quán)限?；€符合性 判定依據(jù)1、判定

11、條件登陸遠(yuǎn)程管理頁面，使用tomcat帳號進(jìn)行登陸，登陸成功。2、檢測操作登陸http:/ip:8080/manager/html頁面，使用tomcat帳號登陸，進(jìn)仃遠(yuǎn)程管理。備注根據(jù)應(yīng)用場景的不冋，如部署場景需開啟此功能，則強(qiáng)制要求此項。第3章日志配置操作3.1 日志配置審核登錄安全基線項 目名稱Tomcat審核登錄安全基線要求項安全基線編 號SBL-Tomcat-03-01-01安全基線項 說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的 帳號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。檢測操作步 驟1、參考配置操作編輯server.xml配置文件，

12、在<HOST>標(biāo)簽中增加記錄日志功能 將以下內(nèi)容的注釋標(biāo)記< !- >取消<valve class name= "org.apache.catali na.valves.AccessLogValve ” Directory= "logs" prefix= "localhost_access_log." Suffix= ".txt" Patter n="com mon" resloveHosts= "false "/>2、補(bǔ)充操作說明class nam

13、e: This MUST be set toorg.apache.catalina.valves.AccessLogValve to use the default access log valve. & <60Directory:日志文件放置的目錄，在tomcat下面有個logs文件夾，那里面是專門放置日志文件的，也可以修改為其他路徑；Prefix:這個是日志文件的名稱前綴，日志名稱為localhost_access_log.2008-10-22.txt ,前面的前綴就是這個 localhost_access_logSuffix:文件后綴名Pattern: common方式時，

14、將記錄訪冋源IP、本地服務(wù)器IP、記錄日志服務(wù)器 IP、訪問方式、發(fā)送字節(jié)數(shù)、本地接收端口、訪問URL地址等相關(guān)信息在日志文件中resolveHosts:值為true時，tomcat會將這個服務(wù)器IP地址通過 DNS轉(zhuǎn)換為主 機(jī)名，如果是false，就直接寫服務(wù)器IP地址基線符合性 判定依據(jù)1、判定條件查看logs目錄中相關(guān)日志文件內(nèi)容，記錄完整2、檢測操作查看 localhost_access_log.2008-10-22.log 中相關(guān)日志記錄3、補(bǔ)充說明備注第4章IP協(xié)議安全配置4.1 IP協(xié)議支持加密協(xié)議*安全基線項 目名稱Tomcat支持加密協(xié)議安全基線要求項安全基線編 號SBL-T

15、omcat-04-01-01安全基線項 說明對于通過HTTP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)支持使用HTTPS等加密協(xié)議。檢測操作步 驟1、參考配置操作(1)使用JDK自帶的keytool工具生成一個證書JAVA_HOME/bin/keytool-genkey -alias tomcat -keyalgRSA-keystore /path/to/my/keystore修改tomcat/conf/server.xml配置文件，更改為使用 https方式，增加如下行：Connector classname="org.apache.catalina.http.HttpConnector ”p

16、ort= "8443” min Processors="5” maxprocessors=" 100”en ableLookups= "true ” acceptCo unt= "10” debug="0 ”scheme="https" secure="true” >Factory class name="org.apache.catali na.SSLServerSocketFactory ”clie ntAuth= "false”keystoreFile= "/pa

17、th/to/my/keystore ” keystorePass='runway ”protocol= "TLS "/>/Conn ector>其中keystorePass的值為生成keystore時輸入的密碼(3)重新啟動tomcat服務(wù)基線符合性 判定依據(jù)1、判定條件使用https方式登陸tomcat服務(wù)器頁面，登陸成功2、檢測操作使用https方式登陸tomcat服務(wù)器管理頁面?zhèn)渥⒏鶕?jù)應(yīng)用場景的不冋，如部署場景需開啟此功能，則強(qiáng)制要求此項。第5章設(shè)備其他配置操作5.1 安全管理定時登出安全基線項 目名稱Tomcat疋時登出安全基線要求項安全基線編

18、號SBL-Tomcat-05-01-01安全基線項 說明對于具備字符交互界面的設(shè)備，應(yīng)支持定時賬戶自動登出。登出后用戶需再 次登錄才能進(jìn)入系統(tǒng)。檢測操作步 驟1、參考配置操作編輯tomcat/conf/server.xml配置文件，修改為 300秒 <Conn ectorport="8080" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75"、en ableLookups=

19、"false" redirectPort="8443" acceptCou nt="100" connectionTimeout=" 300" disableUploadTimeout="true" />2、補(bǔ)充操作說明基線符合性 判定依據(jù)1、判定條件300秒自動登出。2、檢測操作登陸tomcat默認(rèn)頁面http:/ip:8080/manager/html ，使用管理帳號登陸3、補(bǔ)充說明備注錯誤頁面處理安全基線項 目名稱Tomcat錯誤頁面安全基線要求項安全基線編 號SBL-Tomcat-05-01-02安全基線項 說明Tomcat錯誤頁面重疋向檢測操作步 驟1、參考配置操作 查看tomcat/conf/web.xml文件： <error-page><error-code>404</error-code><locatio n>/no File.htm</locati on></error-page><error-page><excepti on-type>java .Ian g.NullPo in terExcepti on< /excepti on-type>