Tomcat中间件安全基线配置与操作指南.pdfVIP

Tomcat中间件安全基线配置与操作指南

1、、账账号号管管理理

1.1、、共共享享账账号号管管理理

安全基线项⽬名称Tomcat共享帐号管理安全基线要求项

安全基线编号tomcat-001

安全基线项说明应按照⽤户分配帐号，避免不同⽤户间共享帐号。

设置操作步骤修改tomcat/conf/tomcat-users.xml配置⽂件，修改或添加帐号。如:

userusername=”tomcat”password=”tomcat@1234”

roles=”admin”

基线符合性判定依据查看⽤户帐号登录情况

备注

1.2、、⽆⽆关关账账号号管管理理

安全基线项⽬名称Tomcat⽆关帐号管理安全基线要求项

安全基线编号tomcat-002

安全基线项说明应删除或锁定与系统运⾏、维护等⼯作⽆关的帐号

设置操作步骤修改tomcat/conf/tomcat-users.xml配置⽂件，删除与⼯作⽆关的帐号。

例如tomcat1与运⾏、维护等⼯作⽆关，删除帐号：

userusername=”tomcat1”password=”tomcat”roles=”admin”

基线符合性判定依据

备注

2、、⼝⼝令令管管理理

安全基线项⽬名称Tomcat⼝令管理安全基线要求项

安全基线编号tomcat-003

安全基线项说明对于采⽤静态⼝令认证技术的设备，⼝令长度⾄少8位，并包括数字、⼩写字母、⼤写字母和特殊符号四类

中⾄少三类。且5次以内不得设置相同的⼝令。

设置操作步骤在tomcat/conf/tomcat-user.xml配置⽂件中设置密码为复杂密码，user

username=”tomcat”password=”Tomcat!234”roles=”admin”

在tomcat/conf/server.xml配置⽂件中为shutdown设置复杂密码

Serverport=8005shutdown=复杂密码

基线符合性判定依据检查tomcat-user.xml配置⽂件中的帐号⼝令设置，⽤弱⼝令扫描⼯具检测。

备注

3、、⽇⽇志志配配置置

安全基线项⽬名称Tomcat⽇志配置-审核记录策略安全基线要求项

安全基线编号tomcat-004

安全基线项说明应配置⽇志功能，对运⾏错误、⽤户访问等进⾏记录，记录内容包括时间，⽤户使⽤的IP地址等内容

设置操作步骤编辑server.xml配置⽂件，在HOST标签中增加记录⽇志功能将以下内容的注释标记!----取消

ValveclassName=org.apache.catalina.valves.AccessLogValvedirectory=logs

prefix=localhost_access_logsuffix=.txt

pattern=%h%l%u%t%r%s%b/

基线符合性判定依据查看logs⽬录中相关⽇志⽂件内容，应记录完整。

备注

4、、访访问问控控制制

4.1、、定定时时登登出出

安全基线项⽬名称Tomcat定时登出安全基线要求项

安全基线编号tomcat-005

安全