tomcat系统安全配置基线.docxVIP

Tomcat系统安全配置基线 Tomcat 安全配置基线 目录 TOC \o 1-5 \h \z 第 1 章 概述 1 目的 1 \o Current Document 适用范围 1 \o Current Document 适用版本 1 \o Current Document 第 2 章 账号管理、认证授权 1 账号 1 \o Current Document 用户帐号设置 1 删除或锁定无效账号 2 \o Current Document 认证 2 密码复杂度 2 \o Current Document 权限最小化 3 \o Current Document 第 3 章 日志审计 4 \o Current Document 日志审核 4 \o Current Document 第 4 章 其他配置操作 5 \o Current Document 登陆超时退出 5 \o Current Document 自定义错误信息 6 限制访问 IP 6 禁止目录遍历 7 \o Current Document 第 5 章 持续改进 8 第1章概述 1.1目的 本文规定了 Tomcat系统应当遵循的操作安全性设置标准，本文档旨在指导 Tomcat系统管理人 员或安全检查人员进行 Tomcat系统的安全合规性检查和配置。 1.2适用范围 本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。 本配置标准适用的范围包括： Tomcat系统。 1.3适用版本 适用于Tomcat。 第2章 账号管理、认证授权 2.1账号 2.1.1用户帐号设置 安全基线项 为不同的管理员分配不同的号 目名称 安全基线项 应按照用户分配账号，避免不冋用户间共享账号 ，提高安全性。 说明 检测操作步 1、参考配置操作 骤 修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帐号。 user username= ” tomcat ” password= ” Tomcat!234 ” roles= ” adm 2、补充操作说明  1、 根据不同用户，取不同的名称。 2、 Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存 在admin.xml配置文件。 基线符合性 判定依据 询问管理员是否安装需求分配用户号 备注 2.1.2删除或锁定无效账号 安全基线项 目名称 删除或锁定无效账号 安全基线项 说明 删除或锁定无效的账号，减少系统安全隐患。 检测操作步 骤 参考配置操作 修改tomcat/conf/tomcat-users.xml配置文件，删除与工作无关的帐号。 例如tomcat1与运行、维护等工作无关，删除帐号： user username= ” tomcat1 ” password= ” tomcat ” roles= ” admin ”〉 基线符合性 判定依据 查看配置文件 备注 2.2认证 2.2.1密码复杂度 安全基线项 目名称 密码复杂度 安全基线项 对于采用静态口令认证技术的设备， 口令长度至少12位，包括数子、小与子  说明 母、大写字母和特殊符号 4类中至少2类。 检测操作步 1、参考配置操作 骤 在tomcat/conf/tomcat-user.xml配置文件中设置密码 user username= ” tomcat ” password= ” Tomcat!234 ” roles= ” admin 2、补充操作说明 口令要求：长度至少12位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少2类。 基线符合性 检查配置文件 判定依据 查看 tomcat/c on f/tomcat-users.xm 1 文件 策略设置 备注 222权限最小化 安全基线项 目名称 权限最小化 安全基线项 在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 说明 检测操作步 1、参考配置操作 骤 编辑tomcat/conf/tomcat-user.xml配置文件，修改用户角色权限 授权tomcat具有远程管理权限： user username= ” tomcat ” password= ” chinamobile ” roles= ” admin,manager ” 2、补充操作说明 1、Tomcat 4.x 禾口 5.x 版本用户角色分为： role1， tomcat， admin， manager 四 o 种 role1 :具有读权限; tomcat:具有读和运行权限； admin:具有读、运行和写权限；  manager：具有远程管