第1章 賬號管理、認證授權
1.1 賬號
1.1.1 共享帳號管理
| 安全基線項目名稱 |
Tomcat共享帳號管理安全基線要求項 |
| 安全基線編號 |
SBL-Tomcat-01-01-01 |
| 安全基線項說明 |
應按照用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設備間通信使用的賬號共享。 |
| 檢測操作步驟 |
1、參考配置操作 修改tomcat/conf/tomcat-users.xml配置文件,修改或添加帳號。 <user username=”tomcat7admin” password=”sinoTn@1234” roles=”manager-gui”> 2、補充操作說明 1、根據不同用戶,取不同的名稱。 2、Tomcat 4.1.37、5.5.27和6.0.18這三個版本及以后發行的版本默認都不存在admin.xml配置文件。 |
| 基線符合性判定依據 |
1、判定條件 各賬號都可以登錄Tomcat Web服務器為正常 2、檢測操作 訪問http://ip:8080/manager/html管理頁面,進行Tomcat服務器管理 |
| 備注 |
|
1.1.2 無關帳號管理
| 安全基線項目名稱 |
Tomcat無關帳號管理安全基線要求項 |
| 安全基線編號 |
SBL-Tomcat-01-01-02 |
| 安全基線項說明 |
應刪除或鎖定與設備運行、維護等工作無關的賬號。 |
| 檢測操作步驟 |
1、參考配置操作 修改tomcat/conf/tomcat-users.xml配置文件,刪除與工作無關的帳號。 例如tomcat1與運行、維護等工作無關,刪除帳號: <user username=”tomcat7admin” password=”tomcat” roles=”admin”> |
| 基線符合性判定依據 |
1、判定條件 被刪除的與工作無關的賬號tomcat1不能正常登陸。 2、檢測操作 訪問http://ip:8080/manager/html管理頁面,使用刪除帳號進行登陸嘗試。 |
| 備注 |
系統無此賬號 |
1.2 口令
1.2.1 密碼復雜度
| 安全基線項目名稱 |
Tomcat密碼復雜度安全基線要求項 |
| 安全基線編號 |
SBL-Tomcat-01-02-01 |
| 安全基線項說明 |
對於采用靜態口令認證技術的設備,口令長度至少8位,並包括數字、小寫字母、大寫字母和特殊符號4類中至少2類。 |
| 檢測操作步驟 |
1、參考配置操作 在tomcat/conf/tomcat-user.xml配置文件中設置密碼 <user username=”tomcat” password=”sinoTn@1234” roles=”admin”> 2、補充操作說明 口令要求:長度至少8位,並包括數字、小寫字母、大寫字母和特殊符號4類中至少2類。 |
| 基線符合性判定依據 |
1、判定條件 檢查tomcat/conf/tomcat-user.xml配置文件中的帳號口令是否符合口令復雜度要求。 2、檢測操作 (1)人工檢查配置文件中帳號口令是否符合; (2)使用tomcat弱口令掃描工具定期對Tomcat Web服務器進行遠程掃描,檢查是否存在弱口令帳號。 3、補充說明 對於使用弱口令掃描工具進行檢查時應注意掃描的線程數等方面,避免對服務器造成不必要的資源消耗;選擇在服務器負荷較低的時間段進行掃描檢查。 |
| 備注 |
|
1.2.2 密碼歷史
| 安全基線項目名稱 |
Tomcat密碼歷史安全基線要求項 |
| 安全基線編號 |
SBL-Tomcat-01-02-02 |
| 安全基線項說明 |
對於采用靜態口令認證技術的設備,應支持按天配置口令生存期功能,帳號口令的生存期不長於90天。 |
| 檢測操作步驟 |
1、參考配置操作 定期對管理Tomcat Web服務器的帳號口令進行修改,間隔不長於90天。 |
| 基線符合性判定依據 |
1、判定條件 90天后使用原帳號口令進行登陸嘗試,登錄不成功; 2、檢測操作 使用超過90天的帳號口令進行登錄嘗試; |
| 備注 |
|
1.3 授權
1.3.1 用戶權利指派
| 安全基線項目名稱 |
Tomcat用戶權利指派安全基線要求項 |
| 安全基線編號 |
SBL-Tomcat-01-03-01 |
| 安全基線項說明 |
在設備權限配置能力內,根據用戶的業務需要,配置其所需的最小權限。 |
| 檢測操作步驟 |
1、參考配置操作 編輯tomcat/conf/tomcat-user.xml配置文件,修改用戶角色權限 授權tomcat具有遠程管理權限: <user username=”tomcat” password=”sinoTn@1234” roles=”manager-gui”> 2、補充操作說明 1、Tomcat 4.x和5.x版本用戶角色分為:role1,tomcat,admin,manager四種。 role1:具有讀權限; tomcat:具有讀和運行權限; admin:具有讀、運行和寫權限; manager:具有遠程管理權限。 Tomcat 6.0.18版本只有admin和manager兩種用戶角色,且admin用戶具有manager管理權限。 2、Tomcat 4.1.37和5.5.27版本及以后發行的版本默認除admin用戶外其他用戶都不具有manager管理權限。 |
| 基線符合性判定依據 |
1、判定條件 登陸遠程管理頁面,使用tomcat賬號進行登陸,登陸成功。 2、檢測操作 登陸http://ip:8080/manager/html頁面,使用tomcat賬號登陸,進行遠程管理。 |
| 備注 |
admin權限 |
第2章 日志配置操作
2.1 日志配置
2.1.1 審核登錄
| 安全基線項目名稱 |
Tomcat審核登錄安全基線要求項 |
| 安全基線編號 |
SBL-Tomcat-02-01-01 |
| 安全基線項說明 |
設備應配置日志功能,對用戶登錄進行記錄,記錄內容包括用戶登錄使用的賬號,登錄是否成功,登錄時間,以及遠程登錄時,用戶使用的IP地址。 |
| 檢測操作步驟 |
1、參考配置操作 編輯server.xml配置文件,在<HOST>標簽中增加記錄日志功能 將以下內容的注釋標記< ! -- -- >取消 <valve classname=”org.apache.catalina.valves.AccessLogValve” Directory=”logs” Prefix=”localhost_access_log.” Suffix=”.txt” Pattern=”common” resloveHosts=”false”/> 2、補充操作說明 classname: This MUST be set to org.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60 Directory:日志文件放置的目錄,在tomcat下面有個logs文件夾,那里面是專門放置日志文件的,也可以修改為其他路徑; Prefix: 這個是日志文件的名稱前綴,日志名稱為localhost_access_log.2008-10-22.txt,前面的前綴就是這個localhost_access_log Suffix: 文件后綴名 Pattern: common方式時,將記錄訪問源IP、本地服務器IP、記錄日志服務器IP、訪問方式、發送字節數、本地接收端口、訪問URL地址等相關信息在日志文件中 resolveHosts:值為true時,tomcat會將這個服務器IP地址通過DNS轉換為主機名,如果是false,就直接寫服務器IP地址 |
| 基線符合性判定依據 |
1、判定條件 查看logs目錄中相關日志文件內容,記錄完整 2、檢測操作 查看localhost_access_log.2008-10-22.log中相關日志記錄 3、補充說明 |
| 備注 |
|
第3章 IP協議安全配置
3.1 IP協議
3.1.1 支持加密協議
| 安全基線項目名稱 |
Tomcat支持加密協議安全基線要求項 |
| 安全基線編號 |
SBL-Tomcat-03-01-01 |
| 安全基線項說明 |
對於通過HTTP協議進行遠程維護的設備,設備應支持使用HTTPS等加密協議。 |
| 檢測操作步驟 |
1、參考配置操作 (1)使用JDK自帶的keytool工具生成一個證書 JAVA_HOME/bin/keytool -genkey –alias tomcat –keyalg RSA -keystore /path/to/my/keystore (2)修改tomcat/conf/server.xml配置文件,更改為使用https方式,增加如下行: Connector classname=”org.apache.catalina.http.HttpConnector” port=”8443” minProcessors=”5” maxprocessors=”100” enableLookups=”true” acceptCount=”10” debug=”0” scheme=”https” secure=”true” > Factory classname=”org.apache.catalina.SSLServerSocketFactory” clientAuth=”false” keystoreFile=”/path/to/my/keystore” keystorePass=”runway” protocol=”TLS”/> /Connector> 其中keystorePass的值為生成keystore時輸入的密碼 (3)重新啟動tomcat服務 |
| 基線符合性判定依據 |
1、判定條件 使用https方式登陸tomcat服務器頁面,登陸成功 2、檢測操作 使用https方式登陸tomcat服務器管理頁面 |
| 備注 |
使用http協議,無加密 |
第4章 設備其他配置操作
4.1 安全管理
4.1.1 定時登出
| 安全基線項目名稱 |
Tomcat定時登出安全基線要求項 |
| 安全基線編號 |
SBL-Tomcat-04-01-01 |
| 安全基線項說明 |
對於具備字符交互界面的設備,應支持定時賬戶自動登出。登出后用戶需再次登錄才能進入系統。 |
| 檢測操作步驟 |
1、參考配置操作 編輯tomcat/conf/server.xml配置文件,修改為30秒 <Connector port="8088" ="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75"、 enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="300" disableUploadTimeout="true" /> 2、補充操作說明
|
| 基線符合性判定依據 |
1、判定條件 30秒自動登出。 2、檢測操作 登陸tomcat默認頁面http://ip:8080/manager/html ,使用管理賬號登陸 3、補充說明 |
| 備注 |
|
4.1.2 更改默認端口
| 安全基線項目名稱 |
Tomcat運行端口安全基線要求項 |
| 安全基線編號 |
SBL-Tomcat-04-01-02 |
| 安全基線項說明 |
更改tomcat服務器默認端口 |
| 檢測操作步驟 |
1、參考配置操作 (1)修改tomcat/conf/server.xml配置文件,更改默認管理端口到8080 <Connector port="8080" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75"、 enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="300" disableUploadTimeout="true" /> (2)重啟tomcat服務 2、補充操作說明
|
| 基線符合性判定依據 |
1、判定條件 使用8088端口登陸頁面成功 2、檢測操作 登陸http://ip:8080 3、補充說明 |
| 備注 |
|
4.1.3 錯誤頁面處理
| 安全基線項目名稱 |
Tomcat錯誤頁面安全基線要求項 |
| 安全基線編號 |
SBL-Tomcat-04-01-03 |
| 安全基線項說明 |
Tomcat錯誤頁面重定向 |
| 檢測操作步驟 |
1、參考配置操作(1)查看tomcat/conf/web.xml文件: |
| 基線符合性判定依據 |
1、 判定條件 要求包含如下片段:
|
| 備注 |
|
4.1.4 目錄列表訪問限制
| 安全基線項目名稱 |
Tomcat目錄列表安全基線要求項 |
| 安全基線編號 |
SBL-Tomcat-04-01-04 |
| 安全基線項說明 |
禁止tomcat列表顯示文件 |
| 檢測操作步驟 |
1、參考配置操作 (1) 編輯tomcat/conf/web.xml配置文件, (2)重新啟動tomcat服務 |
| 基線符合性判定依據 |
1、判定條件 當WEB目錄中沒有默認首頁如index.html,index.jsp等文件時,不會列出目錄內容 2、檢測操作 直接訪問http://ip:8080/webadd |
| 備注 |
|