Tomcat安全配置基线.docVIP

第 PAGE 3 页 共 NUMPAGES 15 页 Tomcat安全配置基线 目 录 TOC \o 1-3 \h \z \u 第1章 概述 4 1.1 目的 4 1.2 适用范围 4 第2章 帐户管理及认证授权 4 2.1 帐户安全 4 2.1.1 启动帐户 4 2.1.2 账户超时登出 5 2.2 口令要求 6 2.2.1 密码复杂度 6 2.3 认证授权 7 2.3.1 配置用户最小权限 7 第3章 日志审计 8 3.1 登录审核 8 第4章 服务安全 9 4.1 更改系统Banner信息 9 4.2 更改Tomcat服务器默认管理端口 10 4.3 HTTP加密协议 11 4.4 连接数设置 12 4.5 配置错误页面重定向 13 4.6 禁止目录列出 14 4.7 禁用非法HTTP方法 15  概述 目的 本基线依据中间件安全配置规范要求，旨在指导中间件管理人员或安全检查人员进行中间件的安全配置，提高中间件的安全防护能力。 适用范围 本基线适用于中所使用的Tomcat。 本基线的使用者包括服务器系统管理员、应用管理员。 帐户管理及认证授权 帐户安全 启动帐户 安全基线 项目名称 Tomcat启动帐户安全基线要求项 安全基线编号 Tomcat安全配置技术要求-1 安全基线项说明 严禁Tomcat 以特权用户身份运行。 检测操作步骤 执行以下命令查看tomcat的启动用户： #ps -ef|grep tomcat|grep -v grep 基线符合性 判定依据 tomcat进程的启动用户不为root则合规，否则不合规。 加固方案 使用普通用户启动tomcat服务。 风险等级 高 备注 账户超时登出 安全基线 项目名称 Tomcat帐户超时登出安全基线要求项 安全基线编号 Tomcat安全配置技术要求-2 安全基线项说明 对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。 检测操作步骤 编辑tomcat配置文件server.xml，查看定时账户登出时间配置： Connectorport=8080 maxHttpHeaderSize=8192 maxThreads=150 minSpareThreads=25 maxSpareThreads=75、enableLookups=false redirectPort=8443 acceptCount=100 connectionTimeout=30000 disableUploadTimeout=true / 基线符合性 判定依据 connectionTimeout的值=30000则合规，否则不合规。 加固方案 1、编辑tomcat安装目录下/conf/server.xml配置文件，将connectionTimeout修改为30秒： Connectorport=8080 maxHttpHeaderSize=8192 maxThreads=150 minSpareThreads=25 maxSpareThreads=75、enableLookups=false redirectPort=8443 acceptCount=100 connectionTimeout=30000 disableUploadTimeout=true / 2、说明：connectionTimeout的单位为毫秒。 风险等级 低 备注 口令要求 密码复杂度 安全基线 项目名称 Tomcat密码复杂度安全基线要求项 安全基线编号 Tomcat安全配置技术要求-3 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。 检测操作步骤 编辑tomcat配置文件tomcat-user.xml，查看tomcat用户口令信息： user username=tomcat password=tomcat roles=tomcat/ user username=both password=tomcat roles=tomcat,role1/ user username=role1 password=tomcat roles=role1/ 基线符合性 判定依据 所有账号的口令均满足长度=8，并包括数字、小写字母、大写字母和特殊符号4类中至少3类则合规，否则不合规。 加固方案 1、编辑tomcat用户文件tomcat-user.xml，修改密码user username=”usr1” password=”12345qwe” roles=”admi