中间件安全基线配置标准

Tomcat中间件安全配置基线加固操作指导书
佛山供电局信息中心
2014年4月
目录
1.1 Tomcat安全基线要求 (3)
1.1.1 对登录Tomcat的用户进行身份鉴别 (3)
1.1.2 限制管理中间件用户权限 (3)
1.1.3 修改默认口令 (4)
1.1.4 访问日志审计功能 (4)
1.1.5 保护日志审计 (5)
1.1.6 限制超时连接 (5)
1.1.7 修改SHUTDOWN字符串 (5)
1.1.8 禁止目录遍历操作 (6)
1.1.9 防止版本信息泄漏 (6)
1.1.10 自定义错误信息 (7)
1.1 Tomcat安全基线要求
1.1.1 对登录Tomcat的用户进行身份鉴别
1.1.2 限制管理中间件用户权限
1.1.3 修改默认口令
1.1.4 访问日志审计功能
1.1.5 保护日志审计
1.1.6 限制超时连接
1.1.7 修改SHUTDOWN字符串
1.1.8 禁止目录遍历操作
1.1.9 防止版本信息泄漏
1.1.10 自定义错误信息。

（安全管理）中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳版本号：1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。

本规范由中国移动通信集团公司管理信息系统部提出并归口管理。

本规范的解释权属于中国移动通信集团公司管理信息系统部。

本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、……目录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS199《联邦信息和信息系统安全分类标准》◆FIPS200《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。

各类操作系统安全配置要求及操作指南检查模块支持系统版本号Windows Windows 2000 以上Solaris Solaris 8 以上AIX AIX 5.X以上HP-UNIX HP-UNIX 11i以上Linux 内核版本2.6以上Oracle Oracle 8i以上SQLServerMicrosoft SQL Server 2000 以上MySQL MySQL 5.x以上IIS IIS 5.x以上Apache Apache 2.x 以上Tomcat Tomcat 5.x以上WebLogic WebLogic 8.X以上Windows操作系统安全配置要求及操作指南I目录目录 (I)前言 (II)1 范围 (1)2 规范性引用文件 (1)3 缩略语 (1)4 安全配置要求 (2)4.1 账号 (2)4.2 口令 (3)4.3 授权 (5)4.4 补丁 (7)4.5 防护软件 (8)4.6 防病毒软件 (8)4.7 日志安全要求 (9)4.8 不必要的服务 (11)4.9 启动项 (12)4.10 关闭自动播放功能 (13)4.11 共享文件夹 (13)4.12 使用NTFS 文件系统 (14)4.13 网络访问 (15)4.14 会话超时设置 (16)4.15 注册表设置 (17)附录A：端口及服务 (18)II前言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间件在内的通用安全配置要求及参考操作。

该系列安全配置要求及操作指南的结构及名称预计如下：（1）《Windows 操作系统安全配置要求及操作指南》（本规范）（2）《AIX操作系统安全配置要求及操作指南》（3）《HP-UX 操作系统安全配置要求及操作指南》（4）《Linux操作系统安全配置要求及操作指南》（5）《Solaris操作系统安全配置要求及操作指南》（6）《MS SQL server数据库安全配置要求及操作指南》（7）《MySQL 数据库安全配置要求及操作指南》（8）《Oracle数据库安全配置要求及操作指南》（9）《Apache安全配置要求及操作指南》（10）《IIS安全配置要求及操作指南》（11）《Tomcat 安全配置要求及操作指南》（12）《WebLogic 安全配置要求及操作指南》11 范围适用于使用Windows 操作系统的设备。

1.操作系统安全基线技术要求1.1.AIX系统安全基线1.1.1.系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。

表1 AIX系统管理基线技术要求1.1.2.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表2。

表2 AIX系统用户账户与口令基线技术要求1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性，详见表3。

1.1.4.服务优化通过优化操作系统资源，提高系统服务安全性，详见表4。

表4 AIX系统服务优化基线技术要求1.1.5.访问控制通过对操作系统安全权限参数进行调整，提高系统访问安全性，详见表5。

表5 AIX系统访问控制基线技术要求1.2.Windows系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表6。

表6 Windows系统用户账号与口令基线技术要求1.2.2.日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7。

表7 Windows系统日志与审计基线技术要求1.2.3.服务优化通过优化系统资源，提高系统服务安全性，详见表8。

表8 Windows系统服务优化基线技术要求1.2.4.访问控制通过对系统配置参数调整，提高系统安全性，详见表9。

表9 Windows系统访问控制基线技术要求1.2.5.补丁管理通过进行定期更新，降低常见的漏洞被利用，详见表10。

1.3.Linux系统安全基线1.3.1.系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11。

表11 Linux系统管理基线技术要求1.3.2.用户账号与口令通过配置Linux系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表12。

表12 Linux系统用户账号与口令基线技术要求1.3.3.日志与审计通过对Linux系统的日志进行安全控制与管理，提高日志的安全性与有效性，详见表13。

操作系统安全基线配置要求为不同用户分配独立的帐户，不允许多个用户共享同一帐户。

应删除或锁定过期或无用的帐户。

只允许指定授权帐户对主机进行远程访问。

应根据实际需要为各个帐户分配最小权限。

应对Administrator帐户进行重命名，并禁用Guest（来宾）帐户。

要求操作系统帐户口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合。

设置口令的最长使用期限小于90天，并配置操作系统用户不能重复使用最近5次（含5次）已使用过的口令。

当用户连续认证失败次数为5次时，应锁定该帐户30分钟。

2.2.服务及授权安全应关闭不必要的服务。

应设置SNMP接受团体名称不为public或弱字符串。

确保系统时间与NTP服务器同步。

配置系统DNS指向企业内部DNS服务器。

2.3.补丁安全应确保操作系统版本更新至最新。

应在确保业务不受影响的情况下及时更新操作系统补丁。

2.4.日志审计应合理配置系统日志审核策略。

应设置日志存储规则，保证足够的日志存储空间。

更改日志默认存放路径，并定期对系统日志进行备份。

2.5.系统防火墙应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。

2.6.防病毒软件应安装由总部统一部署的防病毒软件，并及时更新。

2.7.关闭自动播放功能应关闭Windows自动播放功能。

2.8.共享文件夹应关闭Windows本地默认共享。

设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹。

2.9.登录通信安全应禁止远程访问注册表路径和子路径。

设置远程登录帐户的登录超时时间为30分钟。

禁用匿名访问命名管道和共享。

1.帐户共用：每个用户应分配一个独立的系统帐户，不允许多个用户共享同一个帐户。

2.帐户锁定：过期或无用的帐户应该被删除或锁定。

3.超级管理员远程登录限制：应限制root帐户的远程登录。

4.帐户权限最小化：为每个帐户设置最小权限，以满足其实际需求。

5.口令长度及复杂度：操作系统帐户口令长度应至少为8位，且应包含数字、字母和特殊符号中的至少2种组合。

中间件weblogic安全基线配置标准目录第1章账号管理、认证授权 (3)1.1账号管理 (3)1.1.1系统启动账号 (3)1.1.2帐号锁定策略 (3)1.2口令 (4)1.2.1密码复杂度 (4)第2章日志配置操作 (4)2.1日志配置 (4)2.1.1审核登录 (4)第3章IP协议安全配置 (6)3.1IP 协议 (6)3.1.1支持加密协议 (6)3.1.2限制应用服务器Socket数量 (7)3.1.3禁用Send ServerHeader (7)第4章其他配置操作 (8)4.1登录安全管理 (8)4.1.1定时登出 (8)4.1.2更改默认端口 (8)4.1.3错误页面处理 (9)4.1.4目录列表访问限制 (9)第1章账号管理、认证授权1.1账号管理1.1.1系统启动账号1.1.2帐号锁定策略1.2 口令1.2.1密码复杂度第2章日志配置操作2.1日志配置2.1.1审核登录第3章IP协议安全配置3.1IP协议3.1.1支持加密协议3.1.2限制应用服务器Socket数量3.1.3禁用Send Server Header第4章其他配置操作4.1登录安全管理4.1.1定时登出4.1.2更改默认端口4.1.3错误页面处理4.1.4目录列表访问限制中间件tomcat安全基线配置标准第1章账号管理、认证授权 (12)1.1账号管理 (12)1.1.1共享帐号管理 (12)1.1.2无关帐号管理 (12)1.2口令 (13)1.2.1密码复杂度 (13)1.3授权 (13)1.3.1用户权利指派 (13)第2章日志配置操作 (14)2.1日志配置 (14)2.1.1审核登录 (14)第3章其他配置操作 (15)3.1访问权限 (15)3.1.1定时登出 (15)3.2防攻击管理 (15)3.2.1错误页面处理 (15)3.2.2目录列表访问限制 (16)3.2.3禁用危险HTTP方法 (17)11第1章账号管理、认证授权1.1账号管理1.1.1共享帐号管理1.1.2无关帐号管理121.2 口令1.2.1密码复杂度1.3授权1.3.1用户权利指派第2章日志配置操作2.1日志配置2.1.1审核登录第3章其他配置操作3.1访问权限3.1.1定时登出3.2防攻击管理3.2.1错误页面处理153.2.2目录列表访问限制3.2.3禁用危险HTTP方法17。

Nginx中间件配置安全基线标准与操作指南南京农业大学图书与信息中心2018年6月目录第1章概述 (1)1.1 安全基线概念 (1)1.2 文档编制目的 (1)1.3 文档适用范围 (1)1.4 文档修订 (1)第2章日志审计 (1)2.1 日志配置 (1)2.1.1 审核记录 (1)第3章服务管理 (1)3.1 IP管理 (1)3.1.1 限制IP 访问 (1)3.2 超时管理 (2)3.2.1 控制超时时间 (2)第4章其他配置操作 (3)4.1 访问权限 (3)4.1.1 错误页面处理 (3)4.1.2 防止目录遍历 (3)4.1.3 连接超时设置 (3)第1章概述1.1 安全基线概念安全基线是指满足最小安全保证的基本要求。

1.2 文档编制目的本文档针对安装运行Nginx中间件的服务器主机所应当遵循的基本安全设置要求提供了参考建议，供校园网用户在安装使用Nginx 中间件提供信息服务过程中进行安全合规性自查、检查、加固提供标准依据与操作指导。

1.3 文档适用范围本文档适用于Nginx的各类版本。

1.4 文档修订本文档的解释权和修改权属于南京农业大学图书与信息中心，欢迎校园网用户提供意见或建议，请发送至security@。

第2章日志审计2.1 日志配置2.1.1 审核记录第3章服务管理3.1 IP管理3.1.1 限制IP 访问3.2 超时管理3.2.1 控制超时时间第4章其他配置操作4.1 访问权限4.1.1 错误页面处理4.1.2 防止目录遍历4.1.3 连接超时设置（2）重新启动Nginx 服务。

华为设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 ................................................................ 错误！未定义书签。

2.2.3密码复杂度 (8)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1启用信息中心 (10)3.1.2开启NTP服务保证记录的时间的准确性 (11)3.1.3远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1VRRP认证 (13)4.1.2系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。