查看配置文件策略配置
业务测试正常
备注
第3章
3.1
安全基线项目名称
启用日志记录功能
安全基线项说明
应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。
检测操作步骤
1、参考配置操作
编辑配置文件,在<HOST>标签中增加记录日志功能
将以下内容的注释标记<!---->取消
备注
4.1.5
安全基线项目名称
补丁安装
安全基线项说明
安装新版本,修补漏洞
检测操作步骤
在下载最新版Tomcat安装
基线符合性判定依据
进入Tomcat_home\logs,打开一个日志文件,例如:,可以找到版本信息
2009-6-158:00:48start
信息:StartingServletEngine:ApacheTomcat
<valve
Directory=”logs”prefix=”localhost_access_log.”Suffix=”.txt”
Pattern=”common”resloveHosts=”false”/>
2、补充操作说明
classname:ThisMUSTbesetto
tousethedefaultaccesslogvalve.&<60
roles=”admin,manager”>
2、补充操作说明
1、和版本用户角色分为:role1,tomcat,admin,manager四种。
role1:具有读权限;
tomcat:具有读和运行权限;
admin:具有读、运行和写权限;
manager:具有远程管理权限。
Tomcat
2、Tomcat
基线符合性判定依据
基线符合性判定依据
1、判定条件
查看tomcat/conf/
2、检测操作
,使用管理账号登陆
备注
4.1.2
安全基线项目名称
自定义错误信息
安全基线项说明
自定义Tomcat返回的错误信息
检测操作步骤
修改Tomcat_home\webapps\APP_NAME\WEB-INF\
在最后</web-app>一行之前加入以下内容
例如tomcat1与运行、维护等工作无关,删除帐号:
<userusername=”tomcat1”password=”tomcat”roles=”admin”>
基线符合性判定依据
查看配置文件
备注
2.2
2.2.1
安全基线项目名称
密码复杂度
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少12位,包括数字、小写字母、大写字母和特殊符号4类中至少2类。
(1)表示出现404未找到网页的错误时显示页面
<error-page>
<error-code>404</error-code>
<location>/</location>
</error-page>
(2)表示错误时显示页面
<error-page>
<location>/</location>
</error-page>
检查配置文件
查看tomcat/conf/文件
策略设置
备注
2.2.2
安全基线项目名称
权限最小化
安全基线项说明
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
检测操作步骤
1、参考配置操作
编辑tomcat/conf/配置文件,修改用户角色权限
授权tomcat具有远程管理权限:
<userusername=”tomcat”password=”chinamobile”
Tomcat系统安全配置基线
Tomcat系统安全配置基线
第1章
1.1
本文规定了Tomcat系统应当遵循的操作安全性设置标准,本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。
1.2
本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。
本配置标准适用的范围包括:Tomcat系统。
2、补充操作说明
1、根据不同用户,取不同的名称。
2、Tomcat
基线符合性判定依据
询问管理员是否安装需求分配用户号
备注
2.1.2
安全基线项目名称
删除或锁定无效账号
安全基线项说明
删除或锁定无效的账号,减少系统安全隐患。
检测操作步骤
参考配置操作
修改tomcat/conf/配置文件,删除与工作无关的帐号。
minSpareThreads="25"maxSpareThreads="75"、
enableLookups="false"redirectPort="8443"acceptCount="100"
connectionTimeout="300"disableUploadTimeout="true"/>
1.3
适用于Tomcat。
第2章
2.1
2.1.1
安全基线项目名称
为不同的管理员分配不同的号
安全基线项说明
应按照用户分配账号,避免不同用户间共享账号,提高安全性。
检测操作步骤
1、参考配置操作
修改tomcat/conf/配置文件,修改或添加帐号。
<userusername=”tomcat”password=”Tomcat!234”roles=”admin”>
基线符合性判定依据
查看Tomcat_home\webapps\APP_NAME\WEB-INF\中<error-page></error-page>部分的设置
备注
4.1.3
安全基线项目名称
对敏感目录的访问IP或主机名进行限制
安全基线项说明
对敏感目录的访问IP或主机名进行限制
检测操作步骤
修改Tomcat_home\conf\Catalina\localhost\,在Context标签中加入
<Valve
/>
或者
<Valve
allow="*."/>
基线符合性判定依据
打开Tomcat_home\conf\Catalina\localhost\
查看是否设置有IP或主机名限制
备注
4.1.4
安全基线项目名称
禁止目录遍历
安全基线项说明
防止直接访问目录时由于找不到默认主页而列出目录下文件
检测操作步骤
登录超时
安全基线项说明
对于具备字符交互界面的设备,应支持定时账户自动登出。登出后用户需再次登录才能进入系统。
检测操作步骤
参考配置操作
编辑tomcat/conf/配置文件,修改为30秒
<Connector
port="8080"maxHttpHeaderSize="8192"maxThreads="150"
检测操作步骤
1、参考配置操作
在tomcat/conf/配置文件中设置密码
<userusername=”tomcat”password=”Tomcat!234”roles=”admin”>
2、补充操作说明
口令要求:长度至少12位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
基线符合性判定依据
在漏洞库中查询此版本存在的漏洞
备注
第5章
本文件由XXX定期进行审查,根据审查结果修订标准,并重新颁发执行。
Directory:日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专门放置日志文件的,也可以修改为其他路径;
Prefix:这个是日志文件的名称前缀,日志名称为,前面的前缀就是这个
基线符合性判定依据
判定条件
登录测试,检查相关信息是否被记录
查看文件
备注
第4章
4.1.1
安全基线项目名称
打开Tomcat_home\conf\,查看listings是否设置为false
<init-pt;listings</param-name>
<param-value>false</param-value>
</init-param>
基线符合性判定依据
检查Tomcat_home\conf\配置文件中listings的值为false
