|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
欢迎大家来到仓酷云论坛!本文划定了信息体系部分所保护办理的TomcatWEB办事器应该遵守的宁静性设置尺度,本文档旨在引导体系办理职员举行TomcatWEB办事器的宁静设置。本文合用的tomcat办事器版本为4.x、5.x、6.x版本的TomcatWeb办事器。
第1章账号办理、认证受权
1.1账号
1.1.1同享帐号办理
宁静基线项目称号Tomcat同享帐号办理宁静基线请求项宁静基线编号SBL-Tomcat-02-01-01宁静基线项申明应依照用户分派账号。制止分歧用户间同享账号。制止用户账号和装备间通讯利用的账号同享。检测操纵步调1、参考设置操纵
修正tomcat/conf/tomcat-users.xml设置文件,修正或增加帐号。
<userusername=”tomcat”password=”Tomcat!234”roles=”admin”>
2、增补操纵申明
1、依据分歧用户,取分歧的称号。
2、Tomcat4.1.37、5.5.27和6.0.18这三个版本及今后刊行的版本默许都不存在admin.xml设置文件。基线切合性判断根据1、判断前提
各账号都能够登录TomcatWeb办事器为一般
2、检测操纵
会见http://ip:8080/manager/html办理页面,举行Tomcat办事器办理备注
1.1.2有关帐号办理
宁静基线项目称号Tomcat有关帐号办理宁静基线请求项宁静基线编号SBL-Tomcat-02-01-02宁静基线项申明应删除或锁定与装备运转、保护等事情有关的账号。检测操纵步调1、参考设置操纵
修正tomcat/conf/tomcat-users.xml设置文件,删除与事情有关的帐号。
比方tomcat1与运转、保护等事情有关,删除帐号:
<userusername=”tomcat1”password=”tomcat”roles=”admin”>基线切合性判断根据1、判断前提
被删除的与事情有关的账号tomcat1不克不及一般上岸。
2、检测操纵
会见http://ip:8080/manager/html办理页面,利用删除帐号举行上岸实验。备注
1.2口令
1.2.1暗码庞大度
宁静基线项目称号Tomcat暗码庞大度宁静基线请求项宁静基线编号SBL-Tomcat-02-02-01宁静基线项申明关于接纳静态口令认证手艺的装备,口令长度最少8位,并包含数字、小写字母、年夜写字母和特别标记4类中最少2类。检测操纵步调1、参考设置操纵
在tomcat/conf/tomcat-user.xml设置文件中设置暗码
<userusername=”tomcat”password=”Tomcat!234”roles=”admin”>
2、增补操纵申明
口令请求:长度最少8位,并包含数字、小写字母、年夜写字母和特别标记4类中最少2类。基线切合性判断根据1、判断前提
反省tomcat/conf/tomcat-user.xml设置文件中的帐号口令是不是切合挪动经由过程设置口令庞大度请求。
2、检测操纵
(1)野生反省设置文件中帐号口令是不是切合;
(2)利用tomcat弱口令扫描工具按期对TomcatWeb办事器举行近程扫描,反省是不是存在弱口令帐号。
3、增补申明
关于利用弱口令扫描工具举行反省时应注重扫描的线程数等方面,制止对办事器形成不用要的资本损耗;选择在办事器负荷较低的工夫段举行扫描反省。备注
1.2.2暗码汗青
宁静基线项目称号Tomcat暗码汗青宁静基线请求项宁静基线编号SBL-Tomcat-02-02-02宁静基线项申明关于接纳静态口令认证手艺的装备,应撑持按天设置口令保存期功效,帐号口令的保存期不善于90天。检测操纵步调1、参考设置操纵
按期对办理TomcatWeb办事器的帐号口令举行修正,距离不善于90天。基线切合性判断根据1、判断前提
90天后利用原帐号口令举行上岸实验,登录不乐成;
2、检测操纵
利用凌驾90天的帐号口令举行登录实验;备注合用于4.x、5.x、6.x一切版本。
1.3受权
1.3.1用户权力指派
宁静基线项目称号Tomcat用户权力指派宁静基线请求项宁静基线编号SBL-Tomcat-02-03-01宁静基线项申明在装备权限设置才能内,依据用户的营业必要,设置其所需的最小权限。检测操纵步调1、参考设置操纵
编纂tomcat/conf/tomcat-user.xml设置文件,修正用户脚色权限
受权tomcat具有近程办理权限:
<userusername=”tomcat”password=”chinamobile”
roles=”admin,manager”>
2、增补操纵申明
1、Tomcat4.x和5.x版本用户脚色分为:role1,tomcat,admin,manager四种。
role1:具有读权限;
tomcat:具有读和运转权限;
admin:具有读、运转和写权限;
manager:具有近程办理权限。
Tomcat6.0.18版本只要admin和manager两种用户脚色,且admin用户具有manager办理权限。
2、Tomcat4.1.37和5.5.27版本及今后刊行的版本默许除admin用户外其他用户都不具有manager办理权限。基线切合性判断根据1、判断前提
上岸近程办理页面,利用tomcat账号举行上岸,上岸乐成。
2、检测操纵
上岸http://ip:8080/manager/html页面,利用tomcat账号上岸,举行近程办理。备注
第2章日记设置操纵
2.1日记设置
2.1.1考核登录
宁静基线项目称号Tomcat考核登录宁静基线请求项宁静基线编号SBL-Tomcat-03-01-01宁静基线项申明装备应设置日记功效,对用户登录举行纪录,纪录内容包含用户登录利用的账号,登录是不是乐成,登录工夫,和近程登录时,用户利用的IP地点。检测操纵步调1、参考设置操纵
编纂server.xml设置文件,在<HOST>标签中增添纪录日记功效
将以下内容的正文标志<!---->作废
<valveclassname=”org.apache.catalina.valves.AccessLogValve”
Directory=”logs”prefix=”localhost_access_log.”Suffix=”.txt”
Pattern=”common”resloveHosts=”false”/>
2、增补操纵申明
classname:ThisMUSTbesetto
org.apache.catalina.valves.AccessLogValvetousethedefaultaccesslogvalve.&<60
Directory:日记文件安排的目次,在tomcat上面有个logs文件夹,那边面是专门安排日记文件的,也能够修正为其他路径;
Prefix:这个是日记文件的称号前缀,日记称号为localhost_access_log.2008-10-22.txt,后面的前缀就是这个localhost_access_log
Suffix:文件后缀名
Pattern:common体例时,将纪录会见源IP、当地办事器IP、纪录日记办事器IP、会见体例、发送字节数、当地吸收端口、会见URL地点等相干信息在日记文件中
resolveHosts:值为true时,tomcat会将这个办事器IP地点经由过程DNS转换为主机名,假如是false,就间接写办事器IP地点基线切合性判断根据1、判断前提
检察logs目次中相干日记文件内容,纪录完全
2、检测操纵
检察localhost_access_log.2008-10-22.log中相干日记纪录
3、增补申明备注
第3章IP协定宁静设置
3.1IP协定
3.1.1撑持加密协定
宁静基线项目称号Tomcat撑持加密协定宁静基线请求项宁静基线编号SBL-Tomcat-04-01-01宁静基线项申明关于经由过程HTTP协定举行近程保护的装备,装备应撑持利用HTTPS等加密协定。检测操纵步调1、参考设置操纵
(1)利用JDK自带的keytool工具天生一个证书
JAVA_HOME/bin/keytool-genkey–aliastomcat–keyalgRSA
-keystore/path/to/my/keystore
(2)修正tomcat/conf/server.xml设置文件,变动为利用https体例,增添以下行:
Connectorclassname=”org.apache.catalina.http.HttpConnector”
port=”8443”minProcessors=”5”maxprocessors=”100”
enableLookups=”true”acceptCount=”10”debug=”0”
scheme=”https”secure=”true”>
Factoryclassname=”org.apache.catalina.SSLServerSocketFactory”
clientAuth=”false”
keystoreFile=”/path/to/my/keystore”keystorePass=”runway”
protocol=”TLS”/>
/Connector>
个中keystorePass的值为天生keystore时输出的暗码
(3)从头启动tomcat办事基线切合性判断根据1、判断前提
利用https体例上岸tomcat办事器页面,上岸乐成
2、检测操纵
利用https体例上岸tomcat办事器办理页面备注
第4章装备其他设置操纵
4.1宁静办理
4.1.1准时登出
宁静基线项目称号Tomcat准时登出宁静基线请求项宁静基线编号SBL-Tomcat-05-01-01宁静基线项申明关于具有字符交互界面的装备,应撑持准时账户主动登出。登出后用户需再次登录才干进进体系。检测操纵步调1、参考设置操纵
编纂tomcat/conf/server.xml设置文件,修正为30秒
<Connector
port="8080"maxHttpHeaderSize="8192"maxThreads="150"
minSpareThreads="25"maxSpareThreads="75"、
enableLookups="false"redirectPort="8443"acceptCount="100"
connectionTimeout="300"disableUploadTimeout="true"/>
2、增补操纵申明
基线切合性判断根据1、判断前提
30秒主动登出。
2、检测操纵
上岸tomcat默许页面http://ip:8080/manager/html,利用办理账号上岸
3、增补申明备注
4.1.2变动默许端口
宁静基线项目称号Tomcat运转端口宁静基线请求项宁静基线编号SBL-Tomcat-05-01-02宁静基线项申明变动tomcat办事器默许端口检测操纵步调1、参考设置操纵
(1)修正tomcat/conf/server.xml设置文件,变动默许办理端口到8800
<Connector
port="8800"maxHttpHeaderSize="8192"maxThreads="150"
minSpareThreads="25"maxSpareThreads="75"、
enableLookups="false"redirectPort="8443"acceptCount="100"
connectionTimeout="300"disableUploadTimeout="true"/>
(2)重启tomcat办事
2、增补操纵申明
基线切合性判断根据1、判断前提
利用8800端口上岸页面乐成
2、检测操纵
上岸http://ip:8800
3、增补申明备注
4.1.3毛病页面处置
宁静基线项目称号Tomcat毛病页面宁静基线请求项宁静基线编号SBL-Tomcat-05-01-03宁静基线项申明Tomcat毛病页面重定向检测操纵步调1、参考设置操纵(1)检察tomcat/conf/web.xml文件:
<error-page>
<error-code>404</error-code>
<location>/noFile.htm</location>
</error-page>
……………
<error-page>
<exception-type>java.lang.NullPointerException</exception-type>
<location>/error.jsp</location>
</error-page>
基线切合性判断根据1、判断前提
请求包括以下片断:
备注
4.1.4目次列表会见限定
宁静基线项目称号Tomcat目次列表宁静基线请求项宁静基线编号SBL-Tomcat-05-01-04宁静基线项申明克制tomcat列表显现文件检测操纵步调1、参考设置操纵
(1)编纂tomcat/conf/web.xml设置文件,
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
</init-param>
把true改成false
(2)从头启动tomcat办事基线切合性判断根据1、判断前提
当WEB目次中没有默许首页如index.html,index.jsp等文件时,不会列出目次内容
2、检测操纵
间接会见http://ip:8800/webadd备注
欢迎大家来到仓酷云论坛! |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-14 20:32:09
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜