Tomcat Web服务器安全配置基线.doc

TomcatTomcat WebWeb 服务器安全配置基线服务器安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2009 年 03 月 Tomcat Web 服务器安全配置基线 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 Tomcat Web 服务器安全配置基线 I 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章账号管理 认证授权账号管理 认证授权 2 2 1账号 2 2 1 1共享帐号管理 2 2 1 2无关帐号管理 2 2 2口令 3 2 2 1密码复杂度 3 2 2 2密码历史 4 2 3授权 4 2 3 1用户权利指派 4 第第 3 章章日志配置操作日志配置操作 6 3 1日志配置 6 3 1 1审核登录 6 第第 4 章章IP 协议安全配置协议安全配置 7 4 1IP 协议 7 4 1 1支持加密协议 7 第第 5 章章设备其他配置操作设备其他配置操作 8 5 1安全管理 8 5 1 1定时登出 8 5 1 2更改默认端口 8 5 1 3错误页面处理 9 5 1 4目录列表访问限制 10 第第 6 章章评审与修订评审与修订 11 Tomcat Web 服务器安全配置基线 中国移动通信有限公司第 1 页 共 14 页 第第 1 章章概述概述 1 1目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 Tomcat WEB 服 务器应当遵循的安全性设置标准 本文档旨在指导系统管理人员进行 Tomcat WEB 服务器 的安全配置 1 2适用范围适用范围 本配置标准的使用者包括 服务器系统管理员 应用管理员 网络安全管理员 本配置标准适用的范围包括 支持中国移动集团公司管理信息系统部运行的 Tomcat Web 服务器系统 1 3适用版本适用版本 4 x 5 x 6 x 版本的 Tomcat Web 服务器 1 4实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 Tomcat Web 服务器安全配置基线 中国移动通信有限公司第 2 页 共 14 页 第第 2 章章账号管理 认证授权账号管理 认证授权 2 1账号账号 2 1 1 共享帐号管理共享帐号管理 安全基线项安全基线项 目名称目名称 Tomcat 共享帐号管理安全基线要求项 安全基线编安全基线编 号号 SBL Tomcat 02 01 01 安全基线项安全基线项 说明说明 应按照用户分配账号 避免不同用户间共享账号 避免用户账号和设备间通 信使用的账号共享 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 修改 tomcat conf tomcat users xml 配置文件 修改或添加帐号 2 补充操作说明 补充操作说明 1 根据不同用户 取不同的名称 2 Tomcat 4 1 37 5 5 27 和 6 0 18 这三个版本及以后发行的版本默认都不 存在 admin xml 配置文件 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 各账号都可以登录 Tomcat Web 服务器为正常 2 检测操作 检测操作 访问 http ip 8080 manager html 管理页面 进行 Tomcat 服务器管理 备注备注 2 1 2 无关帐号管理无关帐号管理 安全基线项安全基线项 目名称目名称 Tomcat 无关帐号管理安全基线要求项 安全基线编安全基线编 号号 SBL Tomcat 02 01 02 安全基线项安全基线项 说明说明 应删除或锁定与设备运行 维护等工作无关的账号 Tomcat Web 服务器安全配置基线 中国移动通信有限公司第 3 页 共 14 页 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 修改 tomcat conf tomcat users xml 配置文件 删除与工作无关的帐号 例如 tomcat1 与运行 维护等工作无关 删除帐号 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 被删除的与工作无关的账号 tomcat1 不能正常登陆 2 检测操作 检测操作 访问 http ip 8080 manager html 管理页面 使用删除帐号进行登陆尝试 备注备注 2 2口令口令 2 2 1 密码复杂度密码复杂度 安全基线项安全基线项 目名称目名称 Tomcat 密码复杂度安全基线要求项 安全基线编安全基线编 号号 SBL Tomcat 02 02 01 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 口令长度至少 8 位 并包括数字 小写 字母 大写字母和特殊符号 4 类中至少 2 类 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 在 tomcat conf tomcat user xml 配置文件中设置密码 2 补充操作说明 补充操作说明 口令要求 长度至少 8 位 并包括数字 小写字母 大写字母和特殊符号 4 类中至少 2 类 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 检查 tomcat conf tomcat user xml 配置文件中的帐号口令是否符合移动通过 配置口令复杂度要求 2 检测操作 检测操作 1 人工检查配置文件中帐号口令是否符合 2 使用 tomcat 弱口令扫描工具定期对 Tomcat Web 服务器进行远程扫描 检查是否存在弱口令帐号 3 补充说明 补充说明 对于使用弱口令扫描工具进行检查时应注意扫描的线程数等方面 避免对服 务器造成不必要的资源消耗 选择在服务器负荷较低的时间段进行扫描检查 Tomcat Web 服务器安全配置基线 中国移动通信有限公司第 4 页 共 14 页 备注备注 2 2 2 密码历史密码历史 安全基线项安全基线项 目名称目名称 Tomcat 密码历史安全基线要求项 安全基线编安全基线编 号号 SBL Tomcat 02 02 02 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 应支持按天配置口令生存期功能 帐号 口令的生存期不长于 90 天 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 定期对管理 Tomcat Web 服务器的帐号口令进行修改 间隔不长于 90 天 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 90 天后使用原帐号口令进行登陆尝试 登录不成功 2 检测操作 检测操作 使用超过 90 天的帐号口令进行登录尝试 备注备注适用于 4 x 5 x 6 x 所有版本 2 3授权授权 2 3 1 用户权利指派用户权利指派 安全基线项安全基线项 目名称目名称 Tomcat 用户权利指派安全基线要求项 安全基线编安全基线编 号号 SBL Tomcat 02 03 01 安全基线项安全基线项 说明说明 在设备权限配置能力内 根据用户的业务需要 配置其所需的最小权限 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 编辑 tomcat conf tomcat user xml 配置文件 修改用户角色权限 授权 tomcat 具有远程管理权限 2 补充操作说明 补充操作说明 1 Tomcat 4 x 和 5 x 版本用户角色分为 role1 tomcat admin manager 四 种 role1 具有读权限 tomcat 具有读和运行权限 Tomcat Web 服务器安全配置基线 中国移动通信有限公司第 5 页 共 14 页 admin 具有读 运行和写权限 manager 具有远程管理权限 Tomcat 6 0 18 版本只有 admin 和 manager 两种用户角色 且 admin 用户具有 manager 管理权限 2 Tomcat 4 1 37 和 5 5 27 版本及以后发行的版本默认除 admin 用户外其他 用户都不具有 manager 管理权限 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 登陆远程管理页面 使用 tomcat 账号进行登陆 登陆成功 2 检测操作 检测操作 登陆 http ip 8080 manager html 页面 使用 tomcat 账号登陆 进行远程管理 备注备注 Tomcat Web 服务器安全配置基线 中国移动通信有限公司第 6 页 共 14 页 第第 3 章章日志日志配置操作配置操作 3 1日志配置日志配置 3 1 1 审核登录审核登录 安全基线项安全基线项 目名称目名称 Tomcat 审核登录安全基线要求项 安全基线编安全基线编 号号 SBL Tomcat 03 01 01 安全基线项安全基线项 说明说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 编辑 server xml 配置文件 在标签中增加记录日志功能 将以下内容的注释标记取消 2 补充操作说明 补充操作说明 classname This MUST be set to org apache catalina valves AccessLogValve to use the default access log valve Factory classname org apache catalina SSLServerSocketFactory clientAuth false keystoreFile path to my keystore keystorePass runway protocol TLS Connector 其中 keystorePass 的值为生成 keystore 时输入的密码 3 重新启动 tomcat 服务 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 使用 https 方式登陆 tomcat 服务器页面 登陆成功 2 检测操作 检测操作 使用 https 方式登陆 tomcat 服务器管理页面 备注备注 Tomcat Web 服务器安全配置基线 中国移动通信有限公司第 8 页 共 14 页 第第 5 章章设备其他配置操作设备其他配置操作 5 1安全管理安全管理 5 1 1 定时登出定时登出 安全基线项安全基线项 目名称目名称 Tomcat 定时登出安全基线要求项 安全基线编安全基线编 号号 SBL Tomcat 05 01 01 安全基线项安全基线项 说明说明 对于具备字符交互界面的设备 应支持定时账户自动登出 登出后用户需再 次登录才能进入系统 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 编辑 tomcat conf server xml 配置文件 修改为 30 秒 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 30 秒自动登出 2 检测操作 检测操作 登陆 tomcat 默认页面 http ip 8080 manager html 使用管理账号登陆 3 补充说明 补充说明 备注备注 5 1 2 更改默认端口更改默认端口 安全基线项安全基线项 目名称目名称 Tomcat 运行端口安全基线要求项 安全基线编安全基线编 号号 SBL Tomcat 05 01 02 安全基线项安全基线项 说明说明 更改 tomcat 服务器默认端口 Tomcat Web 服务器安全配置基线 中国移动通信有限公司第 9 页 共 14 页 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 1 修改 tomcat conf server xml 配置文件 更改默认管理端口到 8800 2 重启 tomcat 服务 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 使用 8800 端口登陆页面成功 2 检测操作 检测操作 登陆 http ip 8800 3 补充说明 补充说明 备注备注 5 1 3 错误页面处理错误页面处理 安全基线项安全基线项 目名称目名称 Tomcat 错误页面安全基线要求项 安全基线编安全基线编 号号 SBL Tomcat 05 01 03 安全基线项安全基线项 说明说明 Tomcat 错误页面重定向 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 1 查看 tomcat conf web xml 文件 404 noFile htm