TomcatWeb服务器安全配置基线

Tomcat中间件安全配置基线加固操作指导书
佛山供电局信息中心
2014年4月
目录
1.1 Tomcat安全基线要求 (3)
1.1.1 对登录Tomcat的用户进行身份鉴别 (3)
1.1.2 限制管理中间件用户权限 (3)
1.1.3 修改默认口令 (4)
1.1.4 访问日志审计功能 (4)
1.1.5 保护日志审计 (5)
1.1.6 限制超时连接 (5)
1.1.7 修改SHUTDOWN字符串 (5)
1.1.8 禁止目录遍历操作 (6)
1.1.9 防止版本信息泄漏 (6)
1.1.10 自定义错误信息 (7)
1.1 Tomcat安全基线要求
1.1.1 对登录Tomcat的用户进行身份鉴别
1.1.2 限制管理中间件用户权限
1.1.3 修改默认口令
1.1.4 访问日志审计功能
1.1.5 保护日志审计
1.1.6 限制超时连接
1.1.7 修改SHUTDOWN字符串
1.1.8 禁止目录遍历操作
1.1.9 防止版本信息泄漏
1.1.10 自定义错误信息。

1范围本尺度适用于中国XXx电网有限责任公司及所属单元办理信息大区所有信息系统相关主流支撑平台设备。

2尺度性引用文件以下文件对于本尺度的应用是必不成少的。

但凡注日期的引用文件，仅注日期的版本适用于本尺度。

但凡不注日期的引用文件，其最新版本〔包罗所有的点窜单〕适用于本尺度。

——中华人民共和国计算机信息系统安然庇护条例——中华人民共和国国家安然法——中华人民共和国保守国家奥秘法——计算机信息系统国际联网保密办理规定——中华人民共和国计算机信息网络国际联网办理暂行规定——ISO27001尺度/ISO27002指南——公通字[2007]43号信息安然等级庇护办理方法——GB/T 21028-2007 信息安然技术效劳器安然技术要求——GB/T 20269-2006 信息安然技术信息系统安然办理要求——GB/T 22239-2021 信息安然技术信息系统安然等级庇护底子要求——GB/T 22240-2021 信息安然技术信息系统安然等级庇护定级指南3术语和定义安然基线：指针对IT设备的安然特性，选择适宜的安然控制办法，定义不同IT设备的最低安然配置要求，那么该最低安然配置要求就称为安然基线。

办理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原那么上划分为出产控制大区和办理信息大区。

出产控制大区可以分为控制区(安然区I)和非控制区(安然区Ⅱ)；办理信息大区内部在不影响出产控制大区安然的前提下，可以按照各企业不同安然要求划分安然区。

按照应用系统实际情况，在满足总体安然要求的前提下，可以简化安然区的设置，但是应当防止通过广域网形成不同安然区的纵向交叉连接。

4总那么4.1指导思想围绕公司打造经营型、效劳型、一体化、现代化的国内领先、国际著名企业的战略总体目标，为切实践行南网方略，保障信息化建设，提高信息安然防护能力，通过尺度IT主流设备安然基线，成立公司办理信息大区IT主流设备安然防护的最低尺度，实现公司IT主流设备整体防护的技术办法尺度化、尺度化、指标化。

TongWeb服务器安全配置基线页脚内容1备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

页脚内容2目录第1章...................................................................................................... 概述01.1 .............................................................................................................. 目的1.2 ..................................................................................................... 适用范围1.3 ..................................................................................................... 适用版本1.4 ............................................................................................................. 实施1.5 ..................................................................................................... 例外条款第2章 ........................................................................... 账号管理、认证授权02.1 ............................................................................................................. 帐号2.1.1 ....................................................................................... 应用帐号分配2.1.2 ....................................................................................... 用户口令设置页脚内容22.1.3 ....................................................................................... 用户帐号删除42.2 ..................................................................................................... 认证授权52.2.1 ........................................................................................... 控制台安全5第3章 ...................................................................................... 日志配置操作83.1 ..................................................................................................... 日志配置83.1.1 ........................................................................................... 日志与记录8第4章 ............................................................................................. 备份容错114.1 ..................................................................................................... 备份容错11第5章 .................................................................................. IP协议安全配置135.1 ......................................................................................... IP通信安全协议页脚内容I13第6章 ............................................................................... 设备其他配置操作166.1 ..................................................................................................... 安全管理166.1.1 ................................................................................ 禁止应用程序可显166.1.2 ............................................................................................. 端口设置*186.1.3 ....................................................................................... 错误页面处理19第7章 .......................................................................................... 评审与修订22页脚内容II第1章概述1.1目的本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。

IT主流设备安全基线技术规范1 范围本规范适用于中国XX电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。

2规范性引用文件下列文件对于本规范的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本规范。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。

――中华人民共和国计算机信息系统安全保护条例――中华人民共和国国家安全法――中华人民共和国保守国家秘密法――计算机信息系统国际联网保密管理规定――中华人民共和国计算机信息网络国际联网管理暂行规定――ISO27001标准/ISO27002指南――公通字[2021]43号信息安全等级保护管理办法――GB/T 21028-2021 信息安全技术服务器安全技术要求――GB/T 20269-2021 信息安全技术信息系统安全管理要求――GB/T 22239-2021 信息安全技术信息系统安全等级保护基本要求――GB/T 22240-2021 信息安全技术信息系统安全等级保护定级指南 3术语和定义安全基线：指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。

管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。

生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。

根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。

4总则4.1 指导思想围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标，为切实践行南网方略，保障信息化建设，提高信息安全防护能力，通过规范IT主流设备安全基线，建立公司管理信息大区IT主流设备安全防护的最低标准，实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。

WebSphere Web服务器安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (4)2.1帐号 (4)2.1.1应用程序角色 (4)2.1.2控制台帐号安全 (5)2.1.3口令管理 (5)2.1.4密码复杂度 (6)2.2认证授权 (7)2.2.1控制台安全 (7)2.2.2全局安全性与Java2安全 (7)第3章日志配置操作 (9)3.1日志配置 (9)3.1.1日志与记录 (9)第4章备份容错 (10)4.1备份容错 (10)第5章设备其他配置操作 (11)5.1安全管理 (11)5.1.1控制台超时设置 (11)5.1.2示例程序删除 (11)5.1.3错误页面处理 (12)5.1.4文件访问限制 (12)5.1.5目录列出访问限制 (12)5.1.6控制目录权限 (13)5.1.7补丁管理* (13)第6章评审与修订 (15)第1章概述1.1 目的本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本6.x版本的WebSphere Web服务器。

1.4 实施1.5 例外条款第2章帐号管理、认证授权2.1 帐号应用程序角色控制台帐号安全口令管理密码复杂度2.2 认证授权控制台安全全局安全性与Java2安全第3章日志配置操作3.1 日志配置日志与记录第4章备份容错4.1 备份容错第5章设备其他配置操作5.1 安全管理控制台超时设置示例程序删除错误页面处理文件访问限制目录列出访问限制控制目录权限补丁管理*第6章评审与修订。

1.前言1.1.术语、定义(1)合规性（Compliance）企业或者组织为了履行遵守法律法规要求的承诺,建立、实施并保持一个或多个程序，以定期评价对适用法律法规的遵循情况的一项管理措施。

(2)资产（Asset）信息系统安全策略中所保护的信息或资源。

(3)计算机信息系统（Computer information system）由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

(4)保密性（Confidentiality）使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。

(5)安全服务（Security service）根据安全策略，为用户提供的某种安全功能及相关的保障。

2.服务概述2.1.服务概念基线核查服务是根据相关标准或规范，结合最佳实践，对客户的硬件资产（如：主机设备、网络设备、安全设备、办公终端等）和软件系统（如：操作系统、数据库、中间件和常用服务协议等）进行安全配置的核查，识别出现有安全配置与普适性规范或行业规范的安全配置要求之间的差距，并提供相关优化建议。

2.2.服务必要性基线核查是检验信息系统安全措施中的一种检查方式，信息系统拥有者往往需要在达到相对安全状态下所需要付出的成本与承受安全风险带来的损失之间寻找平衡。

而安全基线正是这个平衡的合理分界线。

基线核查服务，一方面可以根据基线核查的结果进行安全加固提升安全防护能力，减少信息系统的脆弱性，进而降低信息系统面临的安全风险；一方面可以满足合规性检查和国家政策要求。

2.3.服务收益通过以工具为主，人工为辅的方法，对客户的硬件资产和软件系统的安全策略配置进行科学、全面、认真地检查，输出专业的基线核查安全评估报告，通过该服务可以实现包括但不限于以下价值：●帮助客户充分掌握当前 IT 设备的配置情况，了解潜在的 IT 设备、系统的配置隐患和安全风险。

tomcat⼗⼤安全优化措施1、telnet管理端⼝保护使⽤telnet连接进来可以输⼊SHUTDOWN可以直接关闭tomcat，极不安全，必须关闭。

可以修改默认的管理端⼝8005改为其他端⼝，修改SHUTDOWN指令为其他字符串。

# vi conf/server.xml<Server port="8365" shutdown="IN0IT">2 AJP连接端⼝保护Tomcat 服务器通过Connector连接器组件与客户程序建⽴连接，Connector组件负责接收客户的请求，以及把Tomcat服务器的响应结果发送给客户。

默认情况下，Tomcat在server.xml中配置了两种连接器，⼀种使⽤ajp，要和apache结合使⽤，⼀种使⽤http。

当使⽤http 时，可以限制ajp端⼝访问，在于防⽌线下测试流量被mod_jk转发⾄线上tomcat服务器。

可以通过iptables规则限制ajp端⼝的访问，或者直接将改⾏注释。

# vim conf/server.xml<!--<Connector port="8329" protocol="AJP/1.3" redirectPort="8443" />-->3 禁⽤管理端对于tomcat的web管理端属于⾼危安全隐患，⼀旦被攻破，⿊客通过上传web shell⽅式取得服务器的控制权，那是⾮常可怕的。

我们需要删除tomcat安装⽬录下conf/tomcat-user.xml或者删除webapps下默认的⽬录和⽂件。

# mv webapps/* /tmp4 降权启动tomcattomcat 启动⽤户权限必须为⾮root，避免⼀旦tomcat服务被⼊侵，获取root权限，普通⽤户只能使⽤⼤于1024端⼝，如果要想使⽤80端⼝，可以使⽤ iptables规则进⾏转发，或者使⽤代理。

中国x x公司I T技术规范IT系统安全基线规范中国xx公司信息技术部目录IT系统安全基线规范 (1)（V3.0) ........................................................ 错误!未定义书签。

1.范围 (6)2.术语、定义和缩略语 (6)3.总体说明 (6)3.1编写背景 (6)3.2安全基线制定的方法论 (7)4.安全基线范围及内容概述 (7)4.1覆盖范围及适用版本 (7)4.2安全基线编号说明 (8)4.3安全基线组织及内容 (8)5.WEB应用安全基线规范 (8)5.1身份与访问控制 (8)5.1.1账户锁定策略 (8)5.1.2登录用图片验证码 (9)5.1.3口令传输 (9)5.1.4保存登录功能 (9)5.1.5纵向访问控制 (10)5.1.6横向访问控制 (10)5.1.7敏感资源的访问 (10)5.2会话管理 (11)5.2.1会话超时 (11)5.2.2会话终止 (11)5.2.3会话标识 (11)5.2.4会话标识复用 (12)5.3代码质量 (12)5.3.1防范跨站脚本攻击 (12)5.3.2防范SQL注入攻击 (13)5.3.3防止路径遍历攻击 (13)5.3.4防止命令注入攻击 (13)5.3.5防止其他常见的注入攻击 (14)5.3.6防止下载敏感资源文件 (14)5.3.7防止上传后门脚本 (14)5.3.8保证多线程安全 (15)5.3.9保证释放资源 (15)5.4内容管理 (15)5.4.1加密存储敏感信息 (15)5.4.2避免泄露敏感技术细节 (16)5.5防钓鱼与防垃圾邮件 (16)5.5.1防钓鱼 (16)5.5.2防垃圾邮件 (16)5.6密码算法 (17)5.6.1安全算法 (17)5.6.2密钥管理 (17)6.中间件安全基线内容 (18)6.1A PACHE安全配置基线 (18)6.1.1日志配置 (18)6.1.2访问权限 (18)6.1.3防攻击管理 (19)6.2W EB S PHERE安全配置基线 (22)6.2.1帐号管理 (22)6.2.2认证授权 (23)6.2.3日志配置 (24)6.2.4备份容错 (24)6.2.5安全管理 (25)6.3T OMCAT W EB安全配置基线 (27)6.3.1账号管理 (27)6.3.2口令安全 (28)6.3.3日志配置 (29)6.3.4安全管理 (30)6.4IIS服务安全配置基线 (32)6.4.1账号管理 (32)6.4.2口令安全 (33)6.4.3认证授权 (35)6.4.4日志配置 (36)6.4.5IP协议安全 (37)6.4.6屏幕保护 (39)6.4.7文件系统及访问权限 (40)6.4.8补丁管理 (44)6.4.9IIS服务组件 (45)6.5W EB L OGIC W EB服务安全配置基线 (46)6.5.1账号管理 (46)6.5.2口令安全 (47)6.5.3日志配置 (48)6.5.4IP协议安全配置 (48)6.5.5安全管理 (50)7.数据库安全基线内容 (51)7.1DB2数据库安全配置基线 (51)7.1.1数据库权限 (51)7.2SQLS ERVER数据库安全配置基线 (54)7.2.1口令安全 (54)7.2.2日志配置 (54)7.2.3更新补丁 (55)7.3O RACLE数据库系统安全配置基线 (56)7.3.1账号管理 (56)7.3.2口令安全 (56)8.主机安全基线内容 (59)8.1AIX安全配置基线 (59)8.1.1账号管理 (59)8.1.2口令安全 (60)8.1.3IP协议安全 (61)8.1.4日志配置 (62)8.2HP-U NIX安全配置基线 (62)8.2.1账号管理 (62)8.2.2口令安全 (63)8.2.3日志配置 (65)8.2.4IP协议安全 (65)8.2.5其他安全配置 (66)8.3L INUX安全配置基线 (66)8.3.1账号管理 (66)8.3.2认证授权 (67)8.3.3日志配置 (68)8.4W INDOWS安全配置基线 (68)8.4.1账号管理 (68)8.4.2口令安全 (69)8.4.3认证授权 (70)8.4.4日志配置 (71)8.4.5IP协议安全 (74)8.4.6其他安全配置 (75)8.5S OLARIS安全配置基线 (76)8.5.1账号管理 (76)8.5.2口令安全 (77)8.5.3认证授权 (78)8.5.4日志配置 (79)8.5.5IP协议安全 (80)9.设备安全基线内容 (81)9.1C ISCO路由安全配置基线 (81)9.1.1账号管理 (81)9.1.2口令安全 (82)9.1.4日志配置 (84)9.1.5IP协议安全 (86)9.1.6功能配置 (87)9.1.7其他安全配置 (89)9.2H UAWEI路由安全配置基线 (91)9.2.1账号管理 (91)9.2.2口令安全 (92)9.2.3日志配置 (94)9.2.4IP协议安全 (95)9.2.5其他安全配置 (96)9.3J UNIPER路由安全配置基线 (98)9.3.1账号管理 (98)9.3.2口令安全 (100)9.3.3日志配置 (102)9.3.4IP协议安全 (105)9.3.5其他安全配置 (109)10.安全基线使用要求 (113)11.文档修订记录 (113)1.范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

安全基线检查及部分中间件部署规范@author: jerrybird,JC0o0l@wechat: JC_SecNotes@wechat: JC0o0l@GitHub: /chroblert/assetmanage这篇⽂章是之前做基线检查⼯具参考的⼀些规范，⼤家可以通过下⾯的链接下载pdf⽂档：链接：https:///s/1z_m0HpAWSgRYahbsI5DeAg提取码：i4ft(⼀) Centos7安全基线0x01 初始设置1. ⽂件系统配置：2. 安全启动设置：3. 强制访问控制：0x02 服务配置1. 时间同步设置：0x03 ⽹络配置1. hosts设置：2. 防⽕墙配置0x04 审计设置1. 审计配置⽂件的设置2. 审计规则⽂件的设置0x05 ⽇志设置0x06 认证授权1. 配置cron:2. 配置SSH：3. 配置PAM：4. ⽤户账户和环境设置：0x07 系统维护1. 重要⽂件权限：2. ⽤户和组设置：(⼆) Windows2012安全基线0x01 账户策略0x02 审计策略0x03 ⽤户权限分配0x04 安全选项0x05 端⼝安全0x06 系统安全(三) MSSQL2016部署规范0x01安装更新和补丁0x02 减少受攻击⾯0x03 认证和授权0x04 密码策略0x05 审计和⽇志0x06 加密0x07 扩展存储(四) MySQL5.6部署规范0x01 操作系统级别配置0x02 安装和计划任务0x03 权限设置0x04 常规设置0x05 MySQL权限0x06 审计和⽇志0x07 ⾝份认证(五) 中间件部署规范0x01 Nginx安全部署规范1. 隐藏版本号2. 开启HTTPS3. 限制请求⽅法4. 拒绝某些User-Agent5. 利⽤referer图⽚防盗链6. 控制并发连接数7. 设置缓冲区⼤⼩防⽌缓冲区溢出攻击8. 添加Header头防⽌XSS攻击9. 添加其他Header头0x02 Tomcat安全部署规范1. 更改Server Header2. 保护telnet管理端⼝3. 保护AJP连接端⼝4. 删除默认⽂档和⽰例程序5. 隐藏版本信息（需要解jar包）6. 专职低权限⽤户启动tomcat7. ⽂件列表访问控制8. 脚本权限回收0x03 Apache安全部署规范1. 专职低权限⽤户运⾏Apache服务2. ⽬录访问权限设置3. ⽇志设置4. 只允许访问web⽬录下的⽂件5. 禁⽌列出⽬录6. 防范拒绝服务7. 隐藏版本号8. 关闭TRACE功能9. 绑定监听地址10. 删除默认安装的⽆⽤⽂件11. 限定可以使⽤的HTTP⽅法0x04 IIS安全部署规范1. 限制⽬录的执⾏权限2. 开启⽇志记录功能3. ⾃定义错误页⾯4. 关闭⽬录浏览功能5. 停⽤或删除默认站点6. 删除不必要的脚本映射7. 专职低权限⽤户运⾏⽹站8. 在独⽴的应⽤程序池中运⾏⽹站0x05 Redis安全部署规范1.专职低权限⽤户启动redis2. 限制redis配置⽂件的访问权限3. 更改默认端⼝4. 开启redis密码认证5. 禁⽤或者重命名危险命令6. 禁⽌监听在公⽹IP7. 开启保护模式0x06 RabbitMQ 规范1. 专职低权限⽤户启动RabbitMQ2.配置SSL证书3. 开启HTTP后台认证4. 删除或修改默认的guest⽤户和密码5. RabbitMQ的web ui插件存在⼀些安全漏洞(⼀) Centos7安全基线0x01 初始设置1. ⽂件系统配置：1.1 将/tmp挂载⾄⼀个单独的分区1.2 /tmp挂载时指定noexec：不允许运⾏可执⾏⽂件该选项使得/tmp⽬录下的⼆进制⽂件不可被执⾏1.3 /tmp挂载时指定nosuid该选项使得/tmp⽬录下的⽂件或⽬录不可设置Set-UID和Set-GID标志位，能够防⽌提权。

Tomcat Web服务器安全配置基线目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)第2章账号管理、认证授权 (2)2.1账号 (2)2.1.1共享帐号管理 (2)2.1.2无关帐号管理 (2)2.2口令 (3)2.2.1密码复杂度 (3)2.2.2密码历史 (4)2.3授权 (4)2.3.1用户权利指派 (4)第3章日志配置操作 (6)3.1日志配置 (6)3.1.1审核登录 (6)第4章IP协议安全配置 (7)4.1IP协议 (7)4.1.1支持加密协议 (7)第5章设备其他配置操作 (8)5.1安全管理 (8)5.1.1定时登出 (8)5.1.2更改默认端口 (8)5.1.3错误页面处理 (9)5.1.4目录列表访问限制 (10)第1章概述1.1 目的本文档规定了Tomcat WEB服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本4.x、5.x、6.x版本的Tomcat Web服务器。

第2章账号管理、认证授权2.1 账号2.1.1共享帐号管理2.1.2无关帐号管理2.2 口令2.2.1密码复杂度2.2.2密码历史2.3 授权2.3.1用户权利指派第3章日志配置操作3.1 日志配置3.1.1审核登录第4章IP协议安全配置4.1 IP协议4.1.1支持加密协议第5章设备其他配置操作5.1 安全管理5.1.1定时登出5.1.2更改默认端口5.1.3错误页面处理备注5.1.4目录列表访问限制安全基线项目名称Tomcat目录列表安全基线要求项安全基线编号SBL-Tomcat-05-01-04安全基线项说明禁止tomcat列表显示文件检测操作步骤1、参考配置操作(1) 编辑tomcat/conf/web.xml配置文件，<init-param><param-name>listings</param-name> <param-value>true</param-value></init-param>把true改成false(2)重新启动tomcat服务基线符合性判定依据1、判定条件当WEB目录中没有默认首页如index.html,index.jsp等文件时，不会列出目录内容2、检测操作直接访问http://ip:8800/webadd备注。

前沿1、如果之前安装了Oreacla，在使用tomcat是会出现8080端口被占用的情况发生，解决的方法就是对tomcat的端口进行配置，安装tomcat注意两个系统环境变量的配置:JAVA_HOME、CATALINA_HOME，（安装端口的配置见后面的附件一）Tomcat的配置及测试:第一步:下载tomcat,然后解压到任意盘符第二步:配置系统环境变量我这里是tomcat5.5,解压到的D盘 (路径为: D:\Program Files\tomcat5.5),虽然我们现在有了解压好了tomcat5.5服务器,但如果我们此时启动tomcat服务器,系统并不知道去哪里找tomcat服务器,所以我要先给系统做一个说明,既配置环境变量.启动tomcat需要两个环境变量(注意我这里说的是启动)一个是JAVA_HOME(就是JDK的目录)另一个是CATALINA_HOME(就是你当前所使用的tomcat的目录)我这里的配置步骤如下:我的电脑->属性->高级->环境变量我个人是将环境变量设置在用户变量里,当然也可以设置在系统变量里,按个人需要自由发挥:变量配置:新建->变量名:JAVA_HOME 变量值:D:\Program Files\Java\jdk1.6.0新建->变量名:CATALINA_HOME 变量值:D:\Program Files\tomcat5.5配置结束,测试是否配置成功:开始菜单->运行->cmd (输入cmd命令)->进入命令窗口然后分别输入set JAVA_HOME 和set CATALINA_HOME命令,如果能找到,说明配置成功,启动tomcat服务器:第一步:进入tomcat所在目录下的bin文件夹,命令为:d: (进入D盘的命令)cd D:\Program Files\tomcat5.5\bin (此处为防止出错,最好直接复制粘贴)startup.bat (启动tomcat服务器的命令)tomcat服务器启动成功，会显示: “Server startup in 5437 ms ”(注意5437ms 是可变的)关闭tomcat服务器命令为:shutdown.bat此时,我们可以在浏览器中输入http://localhost:8080/如果打开了，表示服务器配置成功到此,配置和启动tomcat5.5服务器完成.---------------------------------------------------------------------------------------------------------------------下面介绍一个简单的web应用例子:第一步:创建一个web应用所需的文件夹及配置web.xml文件直接到D盘找到tomcat文件夹下的webapps文件夹(webapps文件夹是专门用来存放web应用的,此文件默认有6个例子),创建一个serv-app文件夹(名字随便起),在serv-app文件夹中创建一个WEB-INF文件夹(名字是固定的而且必须大写),在WEB-INF文件夹中创建classes文件夹(用来存放.class文件)和web.xml 文件(用来配置servlet)并在web.xml文件中输入以下代码:<?xml version="1.0" encoding="UTF-8"?><web-app version="2.4"xmlns="/xml/ns/j2ee"xmlns:xsi="/2001/XMLSchema-instance"xsi:schemaLocation="/xml/ns/j2ee/xml/ns/j2ee/web-app_2_4.xsd"></web-app>第二步:测试web应用在serv-app文件中创建一个test.html文件,里边任意输入一些内容(比如输入hello),此时我们要停止tomcat服务器,根据上面所提到的shutdown.bat命令(在命令窗口中输入该命令),因为tomcat服务器运行的时候会去检测 webapps 文件下的web应用,所以,当对web应用进行修改的时候最好先停止服务器,等修改结束后,在启动服务器.现在启动服务器,在命令窗口中输入startup.bat命令(需要注意的是,如果你的命令窗口时从新打开的,那么必须要进到tomcat目录下的 bin目录,然后在输入startup.bat命令,可以参看上面配置tomcat服务器的图),成功启动tomcat服务器后,在地址栏输入http://localhost:8080/serv-app/test.html如果可以显示HELLO则说明web应用配置成功。

nginx安全配置基线Nginx是一款轻量级的Web服务器软件，具有高性能、高并发、低资源消耗等优点，因此被广泛应用于互联网领域。

但是，随着网络攻击日益增多，Nginx的安全性也成为了一个重要的问题。

本文主要介绍Nginx安全配置的基线，帮助管理员提高Nginx的安全性。

具体内容如下：1.关闭不必要的模块Nginx有很多模块可以增加其功能，但是也会带来额外的安全风险。

因此，应该关闭不必要的模块，只保留必要的模块。

2.限制请求大小和响应大小限制请求大小和响应大小可以防止攻击者发送过大的请求或响应，导致服务器崩溃。

可以在nginx.conf中设置client_max_body_size和client_body_buffer_size来限制请求大小，设置large_client_header_buffers来限制响应大小。

3.启用SSL加密启用SSL加密可以保护客户端和服务器之间的通信安全，防止数据被窃取或篡改。

可以使用Let's Encrypt等免费SSL证书，也可以使用商业SSL证书。

4.设置访问限制设置访问限制可以防止未经授权的访问或恶意攻击。

可以使用IP黑名单或白名单、HTTP Basic认证、OAuth认证等方式进行限制。

5.禁止目录遍历禁止目录遍历可以防止攻击者通过访问URL中的../符号来访问服务器上的敏感文件。

可以在nginx.conf中设置try_files和rewrite等指令来实现禁止目录遍历。

6.日志管理日志管理可以帮助管理员及时发现异常情况，并及时采取措施。

可以使用access_log和error_log指令来记录访问日志和错误日志，并设置日志滚动策略，定期清理日志。

以上就是Nginx安全配置的基线，管理员可以根据自己的需求进行调整和完善，提高Nginx的安全性。

Web应用安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (5)1.1目的 (5)1.2适用范围 (5)1.3适用版本 (5)1.4实施 (5)1.5例外条款 (5)第2章身份与访问控制 (6)2.1账户锁定策略 (6)2.2登录用图片验证码 (6)2.3口令传输 (6)2.4保存登录功能 (7)2.5纵向访问控制 (7)2.6横向访问控制 (7)2.7敏感资源的访问 (8)第3章会话管理 (9)3.1会话超时 (9)3.2会话终止 (9)3.3会话标识 (9)3.4会话标识复用 (10)第4章代码质量 (11)4.1防范跨站脚本攻击 (11)4.2防范SQL注入攻击 (11)4.3防止路径遍历攻击 (11)4.4防止命令注入攻击 (12)4.5防止其他常见的注入攻击 (12)4.6防止下载敏感资源文件 (13)4.7防止上传后门脚本 (13)4.8保证多线程安全 (13)4.9保证释放资源 (14)第5章内容管理 (15)5.1加密存储敏感信息 (15)5.2避免泄露敏感技术细节 (15)第6章防钓鱼与防垃圾邮件 (16)6.1防钓鱼 (16)6.2防垃圾邮件 (16)第7章密码算法 (17)7.1安全算法 (17)7.2密钥管理 (17)第8章评审与修订 (18)第1章概述1.1 目的本文档旨在指导系统管理人员进行Web应用安全基线检查。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。

1.3 适用版本基于B/S架构的Web应用1.4 实施1.5 例外条款第2章身份与访问控制2.1 账户锁定策略2.2 登录用图片验证码2.3 口令传输2.4 保存登录功能2.5 纵向访问控制2.6 横向访问控制2.7 敏感资源的访问第3章会话管理3.1 会话超时3.2 会话终止3.3 会话标识3.4 会话标识复用第4章代码质量4.1 防范跨站脚本攻击4.2 防范SQL注入攻击4.3 防止路径遍历攻击4.4 防止命令注入攻击4.5 防止其他常见的注入攻击4.6 防止下载敏感资源文件4.7 防止上传后门脚本4.8 保证多线程安全4.9 保证释放资源第5章内容管理5.1 加密存储敏感信息5.2 避免泄露敏感技术细节第6章防钓鱼与防垃圾邮件6.1 防钓鱼6.2 防垃圾邮件第7章密码算法7.1 安全算法7.2 密钥管理第8章评审与修订。

信息安全配置基线(整理)-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIANWin2003 & 2008操作系统安全配置要求2.1. 帐户口令安全帐户分配：应为不同用户分配不同的帐户，不允许不同用户间共享同一帐户。

帐户锁定：应删除或锁定过期帐户、无用帐户。

用户访问权限指派：应只允许指定授权帐户对主机进行远程访问。

帐户权限最小化：应根据实际需要为各个帐户分配最小权限。

默认帐户管理：应对Administrator帐户重命名，并禁用Guest（来宾）帐户。

口令长度及复杂度：应要求操作系统帐户口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合。

口令最长使用期限：应设置口令的最长使用期限小于90天。

口令历史有效次数：应配置操作系统用户不能重复使用最近 5 次（含 5 次）已使用过的口令。

口令锁定策略：应配置当用户连续认证失败次数为 5次，锁定该帐户30分钟。

2.2. 服务及授权安全服务开启最小化：应关闭不必要的服务。

SNMP服务接受团体名称设置：应设置SNMP接受团体名称不为public或弱字符串。

系统时间同步：应确保系统时间与NTP服务器同步。

DNS服务指向：应配置系统DNS指向企业内部DNS服务器。

2.3. 补丁安全系统版本：应确保操作系统版本更新至最新。

补丁更新：应在确保业务不受影响的情况下及时更新操作系统补丁。

2.4. 日志审计日志审核策略设置：应合理配置系统日志审核策略。

日志存储规则设置：应设置日志存储规则，保证足够的日志存储空间。

日志存储路径：应更改日志默认存放路径。

日志定期备份：应定期对系统日志进行备份。

2.5. 系统防火墙：应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。

2.6. 防病毒软件：应安装由总部统一部署的防病毒软件，并及时更新。

2.7. 关闭自动播放功能：应关闭 Windows 自动播放功能。

2.8. 共享文件夹删除本地默认共享：应关闭 Windows本地默认共享。

1.1运维管控与安全审计系统
1.1.1绿盟堡垒机安全基线技术要求
1.1.1.1设备管理
转变传统 IT安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障公司效益。

1.1.1.2用户账号与口令安全
应配置用户账号与口令安全策略，提高设备账户与口令安全。

1.1.1.3日志与审计
堡垒机支持“日志零管理”技术。

提供：日志信息自动备份维护、提供多种详细的日志报表模板、全程运维行为审计（包括字符会话审计、图形操作审计、数据库运维审计、文件传输审计）
1.1.1.4安全防护
堡垒机采用专门设计的安全、可靠、高效的硬件平台。

该硬件平台采用严格的设计和工艺标准，保证高可靠性。

操作系统经过优化和安全性处理，保证系统的安全性。

采用强加密的 SSL 传输控制命令，完全避免可能存在的嗅探行为，确保数据传输安全。

1.1运维监控系统
1.1.1Nagios和Centreon安全基线技术要求
监控工作主要由nagios完成，再通过ndo2db写入数据库，最后由centreon调用显示出来。

有了centreon后就可以用web来操作了。