TomcatWeb服务器安全配置基线案例.doc

Tomcat Web服务器安全配置基线  版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2009年1月 V2.0 更新 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 第1章 概述 4 1.1 目的 4 1.2 适用范围 4 1.3 适用版本 4 1.4 实施 4 1.5 例外条款 4 第2章 帐号管理、认证授权 5 2.1 帐号 5 2.1.1 共享帐号管理* 5 2.1.2 无关帐号管理* 5 2.2 口令 6 2.2.1 密码复杂度 6 2.2.2 密码生存期 7 2.3 授权 7 2.3.1 用户权利指派* 7 第3章 日志配置操作 9 3.1 日志配置 9 3.1.1 审核登录 9 第4章 IP协议安全配置 10 4.1 IP协议 10 4.1.1 支持加密协议* 10 第5章 设备其他配置操作 11 5.1 安全管理 11 5.1.1 定时登出 11 5.1.2 错误页面处理 11 5.1.3 目录列表访问限制 12 第6章 评审与修订 14 概述 目的 本文档旨在指导系统管理人员进行安全配置。本的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。实施例外条款”tomcat” password=” Tomcat!234” roles=”admin” 2、补充操作说明 1、根据不同用户，取不同的名称。 2、Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。 基线符合性判定依据 1、判定条件 各帐号都可以登录Tomcat Web服务器为正常 2、检测操作 访问http://ip:8080/manager/html管理页面，进行Tomcat服务器管理 备注 手工检查 无关帐号管理* 安全基线项目名称 Tomcat无关帐号管理安全基线要求项 安全基线编号 SBL-Tomcat-02-01-02 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的帐号。 检测操作步骤 1、参考配置操作 修改tomcat/conf/tomcat-users.xml配置文件，删除与工作无关的帐号。 例如tomcat1与运行、维护等工作无关，删除帐号： user username=”tomcat1” password=”tomcat” roles=”admin” 基线符合性判定依据 1、判定条件 被删除的与工作无关的帐号tomcat1不能正常登陆。 2、检测操作 访问http://ip:8080/manager/html管理页面，使用删除帐号进行登陆尝试。 备注 手工检查 口令 密码复杂度 安全基线项目名称 Tomcat密码复杂度安全基线要求项 安全基线编号 SBL-Tomcat-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。 检测操作步骤 1、参考配置操作 在tomcat/conf/tomcat-user.xml配置文件中设置密码 user username=”tomcat” password=”Tomcat!234” roles=”admin” 2、补充操作说明 口令要求：口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。 基线符合性判定依据 1、判定条件 检查tomcat/conf/tomcat-user.xml配置文件中的帐号口令是否符合口令复杂度要求。 2、检测操作 （1）人工检查配置文件中帐号口令是否符合； （2）使用tomcat弱口令扫描工具定期对Tomcat Web服务器进行远程扫描，检查是否存在弱口令帐号。 3、补充说明 对于使用弱口令扫描工具进行检查时应注意扫描的线程数等方面，避免对服务器造成不必要的资源消耗；选择在服务器负荷较低的时间段进行扫描检查。 备注 密码生存期 安全基线项目名称 Tomcat密码生存期安全基线要求项 安全基线编号 SBL-Tomcat-02-02-02 安全基线项说明 对于采用静态口令认证技术的设备，应支持按天配置口令生存期功能，帐号口令的生存期不长于90天。 检测操作步骤 1、参考配置操作 定期对管理Tomcat Web服务器的帐号口令进行修改，间隔不长于90天。 基线符合性判定依据 1、判定条件 90天后使用原帐号口令进行登陆尝试，登录不成功； 2、检测操作 使用超过90天的帐号口令进行登录尝试；