Tomcat系统安全配置基线

Tomcat系统安全配置基线TOC\o"1-5"\h\z\o"CurrentDocument"第1章 概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"适用范围 1\o"CurrentDocument"适用版本 1\o"CurrentDocument"第2章 账号管理、认证授权 1\o"CurrentDocument"账号 1\o"CurrentDocument"用户帐号设置 1删除或锁定无效账号 2\o"CurrentDocument"认证 2密码复杂度 2\o"CurrentDocument"权限最小化 3\o"CurrentDocument"第3章 日志审计 4\o"CurrentDocument"日志审核 4\o"CurrentDocument"第4章 其他配置操作 5\o"CurrentDocument"登陆超时退出 5\o"CurrentDocument"自定义错误信息 6限制访问IP 6\o"CurrentDocument"禁止目录遍历 7\o"CurrentDocument"第5章 持续改进 8第1章概述目的本文规定了Tomcat系统应当遵循的操作安全性设置标准，本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。适用范I本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的范围包括：Tomcat系统。适用版本适用于Tomcat。第2章账号管理、认证授权账号用户帐号设置安全基线项目名称为不同的管理员分配不同的号安全基线项说明应按照用户分配账号，避免不同用户间共享账号,提高安全性。检测操作步骤1、参考配置操作修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帐号。<userusername二”tomcat”password二”Tomcat!234”roles二”admin”>2、补充操作说明

1、根据不同用户，取不同的名称。2、Tomcat4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。基线符合性判定依据询问管理员是否安装需求分配用户号备注删除或锁定无效账号安全基线项目名称删除或锁定无效账号安全基线项说明删除或锁定无效的账号，减少系统安全隐患。检测操作步骤参考配置操作修改tomcat/conf/tomcat-users.xm^D置文件，删除与工作无关的帐号。例如tomcatl与运行、维护等工作无关，删除帐号：<userusername二”tomcatl”password二”tomcat”roles二”admin”>基线符合性判定依据查看配置文件备注2.2认证2.2.1密码复杂度安全基线项目名称密码复杂度安全基线项对于采用静态口令认证技术的设备，口令长度至少12位，包括数字、小写字

说明母、大写字母和特殊符号4类中至少2类。检测操作步骤1、参考配置操作在tomcat/conf/tomcat-user.xml配置文件中设置密码<userusername="tomcat”password="Tomcat!234”roles="admin”>2、补充操作说明口令要求：长度至少12位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。基线符合性判定依据检查配置文件查看tomcat/conf/tomcat-users.xml文件策略设置备注2.2.2权限最小化安全基线项目名称权限最小化安全基线项说明在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。检测操作步骤1、参考配置操作编辑tomcat/conf/tomcat-user.xml配置文件，修改用户角色权限授权tomcat具有远程管理权限：<userusername="tomcat”password="chinamobile”roles="admin,manager”>2、补充操作说明1、Tomcat4.x和5.x版本用户角色分为：rolel，tomcat，admin，manager四种。role1：具有读权限；tomcat：具有读和运行权限；admin：具有读、运行和写权限；

manager：具有远程管理权限。Tomcat6.0.18版本只有admin和manager两种用户角色，且admin用户具有manager管理权限。2、Tomcat4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。基线符合性判定依据查看配置文件策略配置业务测试正常备注第3章日志审计3.1日志审核安全基线项目名称启用日志记录功能安全基线项说明应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。检测操作步骤1、参考配置操作编辑server.xml配置文件，在＜HOST＞标签中增加记录日志功能将以下内容的注释标记＜!＞取消＜valveclassname="org.apache.catalina.valves.AccessLogValve”Directory="logs”prefix=”localhost_access_log.”Suffix=”.txt”Pattem="common”resloveHosts="faise”/＞2、补充操作说明classname:ThisMUSTbesettoorg.apache.catalina.valves.AccessLogValvetousethedefaultaccesslogvalve.&＜60Directory:日志文件放置的目录，在tomcat下面有个logs文件夹，那里面是专

门放置日志文件的，也可以修改为其他路径；Prefix：这个是日志文件的名称前缀，日志名称为10©2比05匚2出655_108.2008-10-22上*&前面的前缀就是这个基线符合性判定依据判定条件登录测试，检查相关信息是否被记录查看server.xml文件备注第4章其他配置操作登陆超时退出安全基线项目名称登录超时安全基线项说明对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。检测操作步骤参考配置操作编辑tomcat/conf/server.xml配置文件，修改为30秒〈Connectorport="8080"maxHttpHeaderSize="8192"maxThreads="150"minSpareThreads="25"maxSpareThreads="75"、enableLookups="false"redirectPort="8443"acceptCount="100"connectionTimeout="300"disableUploadTimeout="true"/>基线符合性判定依据1、判定条件查看tomcat/conf/server.xml2、检测操作登陆tomcat默认页面http://ip:8080/manager/html，使用官理账号登陆备注

自定义错误信息安全基线项目名称自定义错误信息安全基线项说明自定义Tomcat返回的错误信息检测操作步骤修改Tomcat_home\webapps\APP_NAME\WEB-INF\web.xml在最后</web-app>一行之前加入以下内容（1）表示出现404未找到网页的错误时显示notfound.html页面<error><error-code>404</error-code><location>/nofound.html</location></error>（2）表示出现java.lang.NullPointerException错误时显示error.jsp页面<error><exception-type>java.lang.NullPointerException</exception-type>〈location〉/error.jsp</location></error>基线符合性判定依据查看Tomcat_home\webapps\APP_NAME\WEB-INF\web.xml中<error></error>部分的设置备注限制访问IP安全基线项目名称对敏感目录的访问IP或主机名进行限制安全基线项说明对敏感目录的访问IP或主机名进行限制检测操作步骤修改Tomcat_home\conf\Catalina\localhost\manager.xm,在Context标签中加入〈ValveclassName="org.apache.catalina.valves.RemoteAddrValve"

allow="192.168.1.*”/>或者<ValveclassName="org.apache.catalina.valves.RemoteHostValve"allow="*."/>基线符合性判定依据打开Tomcat_home\conf\Catalina\localhost\manager.xml查看是否设置有IP或主机名限制备注禁止目录遍历安全基线项目名称禁止目录遍历安全基线项说明防止直接访问目录时由于找不到默认主页而列出目录下文件检测操作步骤打开丁。^^2匚110m16匕0m\亚6以*^11，查看listings是否设置为false<init-param><param-name>listings</param-name><param-value>false</param-value></init-param>基线符合性判定依据检查Tomcat_home\conf\web.xml配置文件中listings的值为false备注补丁安装安全基线项目名称补丁安装安全基线项说明安装新版本，修补漏洞检测操作步骤在http://httpd.T/下