Tomcat Web服务器安全配置基线
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Tomcat Web服务器安全配置基线
中国移动通信有限公司管理信息系统部
2012年 04月
版本版本控制信息更新日期更新人审批人V1.0 创建2009年1月
V2.0 更新2012年4月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录
第1章概述 (4)
1.1目的 (4)
1.2适用范围 (4)
1.3适用版本 (4)
1.4实施 (4)
1.5例外条款 (4)
第2章帐号管理、认证授权 (5)
2.1帐号 (5)
2.1.1共享帐号管理* (5)
2.1.2无关帐号管理* (5)
2.2口令 (6)
2.2.1密码复杂度 (6)
2.2.2密码生存期 (7)
2.3授权 (7)
2.3.1用户权利指派* (7)
第3章日志配置操作 (9)
3.1日志配置 (9)
3.1.1审核登录 (9)
第4章IP协议安全配置 (10)
4.1IP协议 (10)
4.1.1支持加密协议* (10)
第5章设备其他配置操作 (11)
5.1安全管理 (11)
5.1.1定时登出 (11)
5.1.2错误页面处理 (11)
5.1.3目录列表访问限制 (12)
第6章评审与修订 (14)
第1章概述
1.1 目的
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Tomcat WEB服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。
1.2 适用范围
本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:支持中国移动集团公司管理信息系统部运行的Tomcat Web 服务器系统。
1.3 适用版本
4.x、
5.x、
6.x版本的Tomcat Web服务器。
1.4 实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5 例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章帐号管理、认证授权
2.1 帐号
2.1.1共享帐号管理*
安全基线项
Tomcat共享帐号管理安全基线要求项
目名称
安全基线编
SBL-Tomcat-02-01-01
号
安全基线项
应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备间通说明
信使用的帐号共享。
检测操作步
1、参考配置操作
骤
修改tomcat/conf/tomcat-users.xml配置文件,修改或添加帐号。
2、补充操作说明
1、根据不同用户,取不同的名称。
2、Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存
在admin.xml配置文件。
基线符合性
1、判定条件
判定依据
各帐号都可以登录Tomcat Web服务器为正常
2、检测操作
访问http://ip:8080/manager/html管理页面,进行Tomcat服务器管理备注手工检查
2.1.2无关帐号管理*
安全基线项
Tomcat无关帐号管理安全基线要求项
目名称
安全基线编
SBL-Tomcat-02-01-02
号
安全基线项
应删除或锁定与设备运行、维护等工作无关的帐号。
说明
检测操作步
骤
1、参考配置操作
修改tomcat/conf/tomcat-users.xml配置文件,删除与工作无关的帐号。
例如tomcat1与运行、维护等工作无关,删除帐号:
基线符合性
判定依据
1、判定条件
被删除的与工作无关的帐号tomcat1不能正常登陆。
2、检测操作
访问http://ip:8080/manager/html管理页面,使用删除帐号进行登陆尝试。
备注手工检查
2.2 口令
2.2.1密码复杂度
安全基线项
目名称
Tomcat密码复杂度安全基线要求项
安全基线编
号
SBL-Tomcat-02-02-01
安全基线项
说明对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。
检测操作步
骤1、参考配置操作
在tomcat/conf/tomcat-user.xml配置文件中设置密码
2、补充操作说明
口令要求:口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。
基线符合性判定依据1、判定条件
检查tomcat/conf/tomcat-user.xml配置文件中的帐号口令是否符合移动通过配置口令复杂度要求。
2、检测操作
(1)人工检查配置文件中帐号口令是否符合;
(2)使用tomcat弱口令扫描工具定期对Tomcat Web服务器进行远程扫描,检查是否存在弱口令帐号。
3、补充说明
对于使用弱口令扫描工具进行检查时应注意扫描的线程数等方面,避免对服务器造成不必要的资源消耗;选择在服务器负荷较低的时间段进行扫描检查。