Tomcat-Web服务器安全配置基线

TomcatWeb服务器平安配置基线中国移动通信有限公司管理信息系统部2023年04月第4章IP协议平安配置IP协议支持加密协议*平安基线项目名称Tomcat支持加密协议平安基线要求项平安基线编号SBL-Tomcat-04-01-01平安基线项说明对于通过协议进行远程维护的设备，设备应支持运用 S等加密协议。检测操作步骤1、参考配置操作(1)运用JDK自带的keytool工具生成一个证书JAVA_HOME/bin/keytool-genkey-aliastomcat-keyalgRSA-keystore/path/to/my/keystore(2)修改tomcat/conf/server.xml配置文件，更改为运用 s方式，增加如下行：Connectorclassname='"'port="8443''minProcessors="5"maxprocessors=^^100”enableLookups="true''acceptCount=,9l0"debug=''O''scheme廿 s"secure="true”>Factoryclassname='"'clientAuth=,,false,9keystoreFile=''/path/to/my/keystore“keystorePass="runway”protocol廿TLS'7>/Connector>其中keystorePass的值为生成keystore时输入的密码(3)重新启动tomcat服务基线符合性判定依据1、判定条件运用 s方式登陆tomcat服务器页面，登陆胜利2、检测操作运用 s方式登陆tomcat服务器管理页面备注依据应用场景的不同，如部署场景需开启此功能，则强制要求此项。第5章设备其他配置操作5.1平安管理定时登出平安基线项目名称Tomcat定时登出平安基线要求项平安基线编号SBL-Tomcat-05-01-01平安基线项说明对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置操作编辑tomcat/conf/server.xml配置文件，修改为300秒<Connectorport=n8080"maxHeaderSize="8192HmaxThreads=n150"minSpareThreads=n25nmaxSpareThreads=n75n>enableLookups=nfalsenredirectPort=n8443HacceptCount=n100nconnectionTimeout=H300ndisableUploadTimeout=ntruen/>2、补充操作说明基线符合性判定依据1、判定条件300秒自动登出。2、检测操作登陆tomcat默认页面 ://ip:8080/manager/html,运用管理帐号登陆3、补充说明备注错误页面处理平安基线项目名称Tomcat错误页面平安基线要求项平安基线编号SBL-Tomcat-05-01-02平安基线项说明Tomcat错误页面重定向检测操作步骤1、参考配置操作(1)查看tomcat/conf/web.xml文件：<error><error-code>404</error-code><location>/noFile.htm</location></error><error><exception-type>java.lang.NullPointerException</exception-type><location>/error.jsp</location></error>基线符合性判定依据1、判定条件要求包含如下片段：<etror>4J<exception-type>*</exception-typ…<location>error.html</location》。</etror>4J备注5.L3书目列表访问限制平安基线项目名称Tomcat书目列表平安基线要求项平安基线编号SBL-Tomcat-05-01-03平安基线项说明禁止tomcat列表显示文件检测操作步骤1、参考配置操作(1)编辑tomcat/conf/web.xml配置文件，<init-param><param-name>listings</param-name><param-value>true</param-value></init-param>把true改成false(2)重新启动tomcat服务基线符合性判定依据1、判定条件当WEB书目中没有默认首页如index.html,index.jsp等文件时,不会列出书目内容2、检测操作干脆访问://ip:8800/webadd备注第6章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，依据谛视结果修订标准，并颁发执行。版本版本限制信息更新日期更新人审批人V1.0创建2023年1月V2.0更新2023年4月备注：1.若此文档须要日后更新，请创建人填写版本限制表格，否则删除版本限制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述4\o"CurrentDocument"目的4\o"CurrentDocument"适用范围4\o"CurrentDocument"适用版本4\o"CurrentDocument"实施4\o"CurrentDocument"例夕卜条款4\o"CurrentDocument"第2章帐号管理、认证授权5\o"CurrentDocument"帐号5共享帐号管理*5无关帐号管理”5口令6密码困难度.6密码生存期.7\o"CurrentDocument"授权7用户权利指派”7\o"CurrentDocument"第3章日志配置操作9\o"CurrentDocument"日志配置9审核登录9\o"CurrentDocument"第4章 IP协议平安配置10\o"CurrentDocument"IP协议10支持加密协议*10\o"CurrentDocument"第5章 设备其他配置操作11平安管理11定时登出11错误页面处理11书目列表访问限制72\o"CurrentDocument"第6章评审与修订14第1章概述目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的TomcatWEB服务器应当遵循的平安性设置标准，本文档旨在指导系统管理人员进行TomcatWEB服务器的平安配置。适用范围本配置标准的运用者包括：服务器系统管理员、应用管理员、网络平安管理员。本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的TomcatWeb服务器系统。适用版本4.x、5.x、6.x版本的TomcatWeb服务器。实施本标准的说明权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应刚好反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必需打算书面申请文件，说明业务需求和缘由，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章帐号管理、认证授权2.1帐号共享帐号管理*平安基线项目名称Tomcat共享帐号管理平安基线要求项平安基线编号SBL-Tomcat-02-01-01平安基线项说明应依据用户安排帐号。避开不同用户间共享帐号。避开用户帐号和设备间通信运用的帐号共享。检测操作步骤1、参考配置操作修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帐号。<userusername=''tomcat“password=^^Tomcat!234"roles=,,admin,,>2、补充操作说明1、依据不同用户，取不同的名称。2、Tomcat这三个版本及以后发行的版本默认都不存在admin.xml配置文件。基线符合性判定依据1、判定条件各帐号都可以登录TomcatWeb服务器为正常2、检测操作访问://ip:8080/manager/html管理页面，进行Tomcat服务器管理备注手工检查无关帐号管理*平安基线项目名称Tomcat无关帐号管理平安基线要求项平安基线编号SBL-Tomcat-02-01-02平安基线项说明应删除或锁定与设备运行、维护等工作无关的帐号。检测操作步骤1、参考配置操作修改tomcat/conf/tomcat-users.xml配置文件，删除与工作无关的帐号。例如tomcatl与运行、维护等工作无关，删除帐号：<userusername廿tomcatl”password=,,tomcaf,roles=,,admin,,>基线符合性判定依据1、判定条件被删除的与工作无关的帐号tomcatl不能正常登陆。2、检测操作访问 ://ip:8080/manager/html管理页面，运用删除帐号进行登陆尝试。备注手工检查2.2口令密码困难度平安基线项目名称Tomcat密码困难度平安基线要求项平安基线编号SBL-Tomcat-02-02-01平安基线项说明对于采纳静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特别符号四类中至少两类。且5次以内不得设置相同的口令。检测操作步骤1、参考配置操作在tomcat/conf/tomcat-user.xml配置文件中设置密码<userusername="tomcat''password='Tomcat!234’'roles="admin”>2、补充操作说明口令要求：口令长度至少8位，并包括数字、小写字母、大写字母和特别符号四类中至少两类。且5次以内不得设置相同的口令。基线符合性判定依据1、判定条件检查tomcat/conf/tomcat-user.xml配置文件中的帐号口令是否符合移动通过配置口令困难度要求。2、检测操作(1)人工检查配置文件中帐号口令是否符合；(2)运用tomcat弱口令扫描工具定期对TomcatWeb服务器进行远程扫描，检查是否存在弱口令帐号。3、补充说明对于运用弱口令扫描工具进行检查时应留意扫描的线程数等方面，避开对服务器造成不必要的资源消耗;选择在服务器负荷较低的时间段进行扫描检查。备注密码生存期平安基线项目名称Tomcat笛码生存期平文基线要求项平安基线编号SBL-Tomcat-02-02-02平安基线项说明对于采纳静态口令认证技术的设备，应支持按天配置口令生存期功能，帐号口令的生存期不长于90天。检测操作步骤1、参考配置操作定期对管理TomcatWeb服务器的帐号口令进行修改，间隔不长于90天。基线符合性判定依据1、判定条件90天后运用原帐号口令进行登陆尝试，登录不胜利；2、检测操作运用超过90天的帐号口令进行登录尝试；备注2.3授权231用户权利指派*平安基线项目名称Tomcat用户权利指派平安基线要求项平安基线编号SBL-Tomcat-02-03-01平安基线项说明在设备权限配置实力内，依据用户的业务须要，配置其所需的最小权限。检测操作步骤1、参考配置操作编辑tomcat/conf/tomcat-user.xml配置文件，修改用户角色权限授权tomcat具有远程管理权限：<userusername="tomcat“password=''chinamobile”roles=,,admin,manager,,>2、补充操作说明1、Tomcat4.x和5.x版本用户角色分为：rolel,tomcat,admin,manager四种。rolel：具有读权限；tomcat：具有读和运行权限；admin：具有读、运行和写权限;manager：具有远程管理权限。Tomcat版本只有admin和manager两种用户角色，且admin用户具有manager管理权限。2、Tomcat和版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。基线符合性判定依据1、判定条件登陆远程管理页面，运用tomcat帐号进行登陆，登陆胜利。2、检测操作登陆://ip:8080/manager/html页面，运用tomcat帐号登陆，进行远程管理。备注依据应用场景的不问，如部署场景需开启此功能，则强制要求此项。第3章日志配置操作3.1日志配置审核登录平安基线项目名称Tomcat审核登录平安基线要求项平安基线编号SBL-Tomcat-03-01-01平安基线项说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录运用的帐号，登录是否胜利，登录时间，以及远程登录时，用户运用的IP地址。检测操作步骤1、参考配置操作编辑server.xml配置文件，在<HOST>标签中增加记录日志功能将以下内容的注释标记v!- 取消<valveclassname='"'Directory="logs"prefix二"