1、Tomcat 系统安全配置基线Tomcat 安全配置基线ii目 录第 1 章 概述 .11.1 目的 .11.2 适用范围 .11.3 适用版本 .1第 2 章 账号管理、认证授权 .12.1 账号 .12.1.1 用户帐号设置 .12.1.2 删除或锁定无效账号 .22.2 认证 .22.2.1 密码复杂度 .22.2.2 权限最小化 .3第 3 章 日志审计 .43.1 日志审核 .4第 4 章 其他配置操作 .54.1.1 登陆超时退出 .54.1.2 自定义错误信息 .64.1.3 限制访问 IP .74.1.4 禁止目录遍历 .7第 5 章 持续改进 .8Tomcat 系统安全配置基
2、线1第 1 章 概述1.1 目的本文规定了 Tomcat 系统应当遵循的操作安全性设置标准,本文档旨在指导 Tomcat 系统管理人员或安全检查人员进行 Tomcat 系统的安全合规性检查和配置。1.2 适用范围本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的范围包括: Tomcat 系统。1.3 适用版本适用于 Tomcat。第 2 章 账号管理、认证授权2.1 账号2.1.1 用户帐号设置安全基线项目名称为不同的管理员分配不同的号安全基线项说明 应按照用户分配账号,避免不同用户间共享账号,提高安全性。检测操作步骤1、参考配置操作 修改 tomcat/co
3、nf/tomcat-users.xml 配置文件,修改或添加帐号。 2、补充操作说明 Tomcat 系统安全配置基线21、根据不同用户,取不同的名称。 2、Tomcat 4.1.37、5.5.27 和 6.0.18 这三个版本及以后发行的版本默认都不存在 admin.xml 配置文件。基线符合性判定依据询问管理员是否安装需求分配用户号备注2.1.2 删除或锁定无效账号安全基线项目名称删除或锁定无效账号安全基线项说明 删除或锁定无效的账号,减少系统安全隐患。检测操作步骤参考配置操作 修改tomcat/conf/tomcat-users.xml配置文件,删除与工作无关的帐号。 例如tomcat1与
4、运行、维护等工作无关,删除帐号: 基线符合性判定依据查看配置文件备注2.2 认证2.2.1 密码复杂度安全基线项目名称密码复杂度安全基线项 对于采用静态口令认证技术的设备,口令长度至少 12 位,包括数字、小写Tomcat 系统安全配置基线3说明 字母、大写字母和特殊符号 4 类中至少 2 类。检测操作步骤1、参考配置操作 在 tomcat/conf/tomcat-user.xml 配置文件中设置密码 2、补充操作说明 口令要求:长度至少 12 位,并包括数字、小写字母、大写字母和特殊符号4 类中至少 2 类。基线符合性判定依据检查配置文件查看tomcat/conf/tomcat-users.
5、xml文件 策略设置备注2.2.2 权限最小化安全基线项目名称权限最小化安全基线项说明 在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。检测操作步骤1、参考配置操作 编辑 tomcat/conf/tomcat-user.xml 配置文件,修改用户角色权限 授权 tomcat 具有远程管理权限: 2、补充操作说明 1、Tomcat 4.x 和 5.x 版本用户角色分为:role1,tomcat,admin,manager 四种。 role1:具有读权限; tomcat:具有读和运行权限; admin:具有读、运行和写权限; Tomcat 系统安全配置基线4manager:具有远
6、程管理权限。 Tomcat 6.0.18 版本只有 admin 和 manager 两种用户角色,且 admin 用户具有manager 管理权限。 2、Tomcat 4.1.37 和 5.5.27 版本及以后发行的版本默认除 admin 用户外其他用户都不具有 manager 管理权限。基线符合性判定依据查看配置文件策略配置业务测试正常备注第 3 章 日志审计3.1 日志审核安全基线项目名称启用日志记录功能安全基线项说明 应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的 IP 地址。检测操作步骤1、参考配置操作 编辑 serv
7、er.xml 配置文件,在 标签中增加记录日志功能 将以下内容的注释标记取消 2、补充操作说明 classname: This MUST be set to org.apache.catalina.valves.AccessLogValve to use the default access log valve. &基线符合性判定依据1、判定条件 查看 tomcat/conf/server.xml 2、检测操作 登陆 tomcat 默认页面 http:/ip:8080/manager/html ,使用管理账号登陆备注Tomcat 系统安全配置基线64.1.2 自定义错误信息安全基线项目名称自定
8、义错误信息安全基线项说明 自定义 Tomcat 返回的错误信息检测操作步骤修改 Tomcat_homewebappsAPP_NAMEWEB-INFweb.xml在最后一行之前加入以下内容(1)表示出现 404 未找到网页的错误时显示 notfound.html 页面404/nofound.html (2)表示出现 java.lang.NullPointerException 错误时显示 error.jsp 页面java.lang.NullPointerException/ error.jsp 基线符合性判定依据查看 Tomcat_homewebappsAPP_NAMEWEB-INFweb.xm
9、l 中 部分的设置备注4.1.3 限制访问 IP安全基线项目名称对敏感目录的访问 IP 或主机名进行限制安全基线项说明 对敏感目录的访问 IP 或主机名进行限制检测操作步骤修改 Tomcat_homeconfCatalinalocalhostmanager.xml,在 Context 标签中加入或者基线符合性判定依据打开 Tomcat_homeconfCatalinalocalhostmanager.xml查看是否设置有 IP 或主机名限制备注4.1.4 禁止目录遍历安全基线项目名称禁止目录遍历安全基线项说明 防止直接访问目录时由于找不到默认主页而列出目录下文件检测操作步骤打开 Tomcat_
10、homeconfweb.xml,查看 listings 是否设置为 falselistingsfalse基线符合性判定依据检查 Tomcat_homeconfweb.xml 配置文件中 listings 的值为 false备注4.1.5 补丁安装安全基线项目名称补丁安装安全基线项说明 安装新版本,修补漏洞检测操作步骤在 http:/httpd.Tomcat.org/ 下载最新版 Tomcat 安装基线符合性 进入 Tomcat_homelogs,打开一个日志文件,例如:catalina.2009-XX-Tomcat 系统安全配置基线8判定依据 YY.log,可以找到版本信息2009-6-15 8:00:48 org.apache.catalina.core.StandardEngine start信息: Starting Servlet Engine: Apache Tomcat/6.0.20在漏洞库中查询此版本存在的漏洞备注第 5 章 持续改进本文件由 XXX 定期进行审查,根据审查结果修订标准,并重新颁发执行。
