TomcatWeb服務(wù)器安全配置基線

TomcatWeb服務(wù)器安全配置基線TomcatWeb服務(wù)器安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2012年04月TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第1頁。

TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第1頁。版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月V2.0更新2012年4月備注：若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第2頁。TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第2頁。目錄第1章 概述 41.1 目的 41.2 適用范圍 41.3 適用版本 41.4 實施 41.5 例外條款 4第2章 帳號管理、認(rèn)證授權(quán) 52.1 帳號 52.1.1 共享帳號管理* 52.1.2 無關(guān)帳號管理* 52.2 口令 62.2.1 密碼復(fù)雜度 62.2.2 密碼生存期 72.3 授權(quán) 72.3.1 用戶權(quán)利指派* 7第3章 日志配置操作 93.1 日志配置 93.1.1 審核登錄 9第4章 IP協(xié)議安全配置 104.1 IP協(xié)議 104.1.1 支持加密協(xié)議* 10第5章 設(shè)備其他配置操作 115.1 安全管理 115.1.1 定時登出 115.1.2 錯誤頁面處理 115.1.3 目錄列表訪問限制 12第6章 評審與修訂 14TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第3頁。TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第3頁。概述目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的TomcatWEB服務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行TomcatWEB服務(wù)器的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：支持中國移動集團(tuán)公司管理信息系統(tǒng)部運行的TomcatWeb服務(wù)器系統(tǒng)。適用版本4.x、5.x、6.x版本的TomcatWeb服務(wù)器。實施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第4頁。TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第4頁。帳號管理、認(rèn)證授權(quán)帳號共享帳號管理*安全基線項目名稱Tomcat共享帳號管理安全基線要求項安全基線編號SBL-Tomcat-02-01-01安全基線項說明應(yīng)按照用戶分配帳號。避免不同用戶間共享帳號。避免用戶帳號和設(shè)備間通信使用的帳號共享。檢測操作步驟1、參考配置操作修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帳號。<userusername=”tomcat”password=”Tomcat!234”roles=”admin”>2、補(bǔ)充操作說明1、根據(jù)不同用戶，取不同的名稱。2、Tomcat4.1.37、5.5.27和6.0.18這三個版本及以后發(fā)行的版本默認(rèn)都不存在admin.xml配置文件?；€符合性判定依據(jù)1、判定條件各帳號都可以登錄TomcatWeb服務(wù)器為正常2、檢測操作訪問http://ip:8080/manager/html管理頁面，進(jìn)行Tomcat服務(wù)器管理備注手工檢查TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第5頁。無關(guān)帳號管理*TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第5頁。安全基線項目名稱Tomcat無關(guān)帳號管理安全基線要求項安全基線編號SBL-Tomcat-02-01-02安全基線項說明應(yīng)刪除或鎖定與設(shè)備運行、維護(hù)等工作無關(guān)的帳號。檢測操作步驟1、參考配置操作修改tomcat/conf/tomcat-users.xml配置文件，刪除與工作無關(guān)的帳號。例如tomcat1與運行、維護(hù)等工作無關(guān)，刪除帳號：<userusername=”tomcat1”password=”tomcat”roles=”admin”>基線符合性判定依據(jù)1、判定條件被刪除的與工作無關(guān)的帳號tomcat1不能正常登陸。2、檢測操作訪問http://ip:8080/manager/html管理頁面，使用刪除帳號進(jìn)行登陸嘗試。備注手工檢查口令TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第6頁。密碼復(fù)雜度TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第6頁。安全基線項目名稱Tomcat密碼復(fù)雜度安全基線要求項安全基線編號SBL-Tomcat-02-02-01安全基線項說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。檢測操作步驟1、參考配置操作在tomcat/conf/tomcat-user.xml配置文件中設(shè)置密碼<userusername=”tomcat”password=”Tomcat!234”roles=”admin”>2、補(bǔ)充操作說明口令要求：口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令?；€符合性判定依據(jù)1、判定條件檢查tomcat/conf/tomcat-user.xml配置文件中的帳號口令是否符合移動通過配置口令復(fù)雜度要求。2、檢測操作（1）人工檢查配置文件中帳號口令是否符合；（2）使用tomcat弱口令掃描工具定期對TomcatWeb服務(wù)器進(jìn)行遠(yuǎn)程掃描，檢查是否存在弱口令帳號。3、補(bǔ)充說明對于使用弱口令掃描工具進(jìn)行檢查時應(yīng)注意掃描的線程數(shù)等方面，避免對服務(wù)器造成不必要的資源消耗；選擇在服務(wù)器負(fù)荷較低的時間段進(jìn)行掃描檢查。備注密碼生存期安全基線項目名稱Tomcat密碼生存期安全基線要求項安全基線編號SBL-Tomcat-02-02-02安全基線項說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)支持按天配置口令生存期功能，帳號口令的生存期不長于90天。檢測操作步驟1、參考配置操作定期對管理TomcatWeb服務(wù)器的帳號口令進(jìn)行修改，間隔不長于90天。基線符合性判定依據(jù)1、判定條件90天后使用原帳號口令進(jìn)行登陸嘗試，登錄不成功；2、檢測操作使用超過90天的帳號口令進(jìn)行登錄嘗試；備注授權(quán)TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第7頁。用戶權(quán)利指派*TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第7頁。安全基線項目名稱Tomcat用戶權(quán)利指派安全基線要求項安全基線編號SBL-Tomcat-02-03-01安全基線項說明在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。檢測操作步驟1、參考配置操作編輯tomcat/conf/tomcat-user.xml配置文件，修改用戶角色權(quán)限授權(quán)tomcat具有遠(yuǎn)程管理權(quán)限：<userusername=”tomcat”password=”chinamobile”roles=”admin,manager”>2、補(bǔ)充操作說明1、Tomcat4.x和5.x版本用戶角色分為：role1，tomcat，admin，manager四種。role1：具有讀權(quán)限；tomcat：具有讀和運行權(quán)限；admin：具有讀、運行和寫權(quán)限；manager：具有遠(yuǎn)程管理權(quán)限。Tomcat6.0.18版本只有admin和manager兩種用戶角色，且admin用戶具有manager管理權(quán)限。2、Tomcat4.1.37和5.5.27版本及以后發(fā)行的版本默認(rèn)除admin用戶外其他用戶都不具有manager管理權(quán)限?；€符合性判定依據(jù)1、判定條件登陸遠(yuǎn)程管理頁面，使用tomcat帳號進(jìn)行登陸，登陸成功。2、檢測操作登陸http://ip:8080/manager/html頁面，使用tomcat帳號登陸，進(jìn)行遠(yuǎn)程管理。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項。TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第8頁。

TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第8頁。日志配置操作日志配置TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第9頁。審核登錄TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第9頁。安全基線項目名稱Tomcat審核登錄安全基線要求項安全基線編號SBL-Tomcat-03-01-01安全基線項說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的帳號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。檢測操作步驟1、參考配置操作編輯server.xml配置文件，在<HOST>標(biāo)簽中增加記錄日志功能將以下內(nèi)容的注釋標(biāo)記<!---->取消<valveclassname=”org.apache.catalina.valves.AccessLogValve”Directory=”logs”prefix=”localhost_access_log.”Suffix=”.txt”Pattern=”common”resloveHosts=”false”/>2、補(bǔ)充操作說明classname:ThisMUSTbesettoorg.apache.catalina.valves.AccessLogValvetousethedefaultaccesslogvalve.&<60Directory:日志文件放置的目錄，在tomcat下面有個logs文件夾，那里面是專門放置日志文件的，也可以修改為其他路徑；Prefix:這個是日志文件的名稱前綴，日志名稱為localhost_access_log.2008-10-22.txt，前面的前綴就是這個localhost_access_logSuffix:文件后綴名Pattern:common方式時，將記錄訪問源IP、本地服務(wù)器IP、記錄日志服務(wù)器IP、訪問方式、發(fā)送字節(jié)數(shù)、本地接收端口、訪問URL地址等相關(guān)信息在日志文件中resolveHosts:值為true時，tomcat會將這個服務(wù)器IP地址通過DNS轉(zhuǎn)換為主機(jī)名，如果是false，就直接寫服務(wù)器IP地址基線符合性判定依據(jù)1、判定條件查看logs目錄中相關(guān)日志文件內(nèi)容，記錄完整2、檢測操作查看localhost_access_log.2008-10-22.log中相關(guān)日志記錄3、補(bǔ)充說明備注IP協(xié)議安全配置IP協(xié)議支持加密協(xié)議*安全基線項目名稱Tomcat支持加密協(xié)議安全基線要求項安全基線編號SBL-Tomcat-04-01-01安全基線項說明對于通過HTTP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)支持使用HTTPS等加密協(xié)議。檢測操作步驟1、參考配置操作(1)使用JDK自帶的keytool工具生成一個證書JAVA_HOME/bin/keytool-genkey–aliastomcat–keyalgRSA-keystore/path/to/my/keystore(2)修改tomcat/conf/server.xml配置文件，更改為使用https方式，增加如下行：Connectorclassname=”org.apache.catalina.http.HttpConnector”port=”8443”minProcessors=”5”maxprocessors=”100”enableLookups=”true”acceptCount=”10”debug=”0”scheme=”https”secure=”true”>Factoryclassname=”org.apache.catalina.SSLServerSocketFactory”clientAuth=”false”keystoreFile=”/path/to/my/keystore”keystorePass=”runway”protocol=”TLS”/>/Connector>其中keystorePass的值為生成keystore時輸入的密碼(3)重新啟動tomcat服務(wù)基線符合性判定依據(jù)1、判定條件使用https方式登陸tomcat服務(wù)器頁面，登陸成功2、檢測操作使用https方式登陸tomcat服務(wù)器管理頁面?zhèn)渥⒏鶕?jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項。TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第10頁。

TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第10頁。設(shè)備其他配置操作安全管理定時登出安全基線項目名稱Tomcat定時登出安全基線要求項安全基線編號SBL-Tomcat-05-01-01安全基線項說明對于具備字符交互界面的設(shè)備，應(yīng)支持定時賬戶自動登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測操作步驟1、參考配置操作編輯tomcat/conf/server.xml配置文件，修改為300秒<Connectorport="8080"maxHttpHeaderSize="8192"maxThreads="150"minSpareThreads="25"maxSpareThreads="75"、enableLookups="false"redirectPort="8443"acceptCount="100"connectionTimeout="300"disableUploadTimeout="true"/>2、補(bǔ)充操作說明基線符合性判定依據(jù)1、判定條件300秒自動登出。2、檢測操作登陸tomcat默認(rèn)頁面http://ip:8080/manager/html，使用管理帳號登陸3、補(bǔ)充說明備注TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第11頁。錯誤頁面處理TomcatWeb服務(wù)器安全配置基線全文共14頁，當(dāng)前為第11頁。安全基線項目名稱Tomcat錯誤頁面安全基線要求項安全基線編號SBL-Tomcat-05-01-02安全基線項說明Tomcat錯誤頁面重定向檢測操作步驟1、參考配置操作(1)查看tomcat/conf/web.xml文件:

<