TongWeb 服务器安全配置基线
Tomcat系统安全配置基线
1、参考配置操作
在tomcat/conf/配置文件中设置密码
<user username=”tomcat” password=”Tomcat!234” roles=”admin”>
2、补充操作说明
口令要求:长度至少12位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
基线符合性判定依据
</error-page>
基线符合性判定依据
查看Tomcat_home\webapps\APP_NAME\WEB-INF\中<error-page> </error-page>部分的设置
备注
4.1.3
安全基线项目名称
对敏感目录的访问IP或主机名进行限制
安全基线项说明
对敏感目录的访问IP或主机名进行限制
2、补充操作说明
1、根据不同用户,取不同的名称。
基线符合性判定依据
询问管理员是否安装需求分配用户号
备注
2.1.2
安全基线项目名称
删除或锁定无效账号
安全基线项说明
删除或锁定无效的账号,减少系统安全隐患。
检测操作步骤
参考配置操作
修改tomcat/conf/配置文件,删除与工作无关的帐号。
例如tomcat1与运行、维护等工作无关,删除帐号:
connectionTimeout="300" disableUploadTimeout="true" />
基线符合性判定依据
1、判定条件
查看tomcat/conf/
2、检测操作
备注
4.1.2
安全基线项目名称
自定义错误信息
安全基线项说明
安全基线配置检查
安全基线配置检查随着互联网的普及和网络攻击的日益频繁,确保系统和网络的安全性成为了企业和个人必须要关注和重视的问题。
而安全基线配置检查则是一种有效的手段,可以帮助我们评估系统和网络的安全性,并采取相应的措施来提高安全性。
安全基线配置检查是指对系统和网络的各项配置进行检查和评估,以确定是否符合安全基线的要求。
安全基线是指根据安全标准和最佳实践所制定的一系列安全配置要求。
通过对系统和网络的配置进行检查,可以发现潜在的安全风险和漏洞,并及时采取措施进行修复,以保护系统和网络的安全。
安全基线配置检查主要包括以下几个方面:1. 操作系统配置检查:检查操作系统的配置是否符合安全要求,包括密码策略、访问控制、日志记录等方面。
例如,密码策略要求密码的复杂度较高,用户锁定策略设置合理,日志记录开启并定期审计等。
2. 网络设备配置检查:检查网络设备的配置是否符合安全要求,包括防火墙、路由器、交换机等设备。
例如,防火墙的配置是否严格,路由器的访问控制列表是否设置合理等。
3. 应用程序配置检查:检查应用程序的配置是否符合安全要求,包括数据库、Web服务器、邮件服务器等应用程序。
例如,数据库的访问权限是否受限,Web服务器的安全设置是否完善等。
4. 安全补丁和更新检查:检查系统和应用程序是否安装了最新的安全补丁和更新,以修复已知的安全漏洞。
及时安装安全补丁和更新可以有效防止黑客利用已知漏洞进行攻击。
5. 安全策略和权限检查:检查系统和网络的安全策略和权限设置是否合理。
例如,用户的权限是否严格控制,敏感数据的访问权限是否受限等。
通过安全基线配置检查,可以及时发现系统和网络的安全隐患,并采取相应的措施来提高安全性。
但是,在进行安全基线配置检查时,也需要注意以下几个问题:1. 安全配置不是唯一的:安全配置并没有统一的标准,不同的安全标准和最佳实践可能会有所不同。
因此,在进行安全基线配置检查时,需要根据企业或个人的实际情况来确定安全配置的要求。
安全基线的基本内容 -回复
安全基线的基本内容-回复什么是安全基线?安全基线是什么?安全基线是一个组织或企业中,对于安全保障的一套基本标准和措施。
也可以理解为一个最低的安全标准,必须保证所有相关方都能够遵守。
为什么需要安全基线?随着信息系统的普及与发展,越来越多的信息与数据被互联网所覆盖。
而这些信息往往是十分敏感且具有价值的。
因此,对企业信息系统安全的要求也越来越高。
安全基线的目的就是确保企业或组织的安全政策以及法律法规能够有效实施,避免安全事件的发生。
安全基线的基本内容是什么?安全基线的核心内容包括以下几方面:1. 计算机系统的安全规范安全规范要求每一台计算机应该如何配置,如操作系统、安全软件、网络协议等,还要定义访问授权和权限管理的规则。
2. 网络拓扑和设备配置网络拓扑和设备配置是基于企业的安全要求而定义的,包括防火墙、VPN、IDS/IPS、路由器、交换机等网络设备的安全配置。
3. 数据库安全数据库安全要求规范企业对于这些关键数据的存储和访问的安全要求,包括数据访问授权以及数据备份和冗余。
4. 应用程序安全应用程序安全要求企业的Web、应用服务器、第三方软件等需要遵守安全要求,包括安全配置、访问控制等。
5. 安全运维安全运维要求企业建立安全管理流程和流程测试,做好漏洞管理、修改管理以及审计等工作。
6. 教育和培训员工是企业安全中最薄弱的一个点,因此必须进行安全教育和培训,包括强密码学习、安全规范教育、网络犯罪告警等。
如何制定和实施安全基线?安全基线的制定和实施应该有一个计划,以下是实施计划的主要步骤:1.需求审查。
了解企业安全需求,包括业务需求,安全需求和法规要求,并针对具体的业务需求和安全需求来制定安全基线标准。
2.标准编写。
根据需求制定安全基线规则,包括计算机系统规范、网络设备规范、数据库规范、应用程序安全规范、安全运维规范以及教育和培训规则。
3.标准审查。
基于实际情况对安全基线标准进行评审和审查,以提高安全标准的精确性和可行性。
Tomcat系统安全配置基线
参考配置操作
修改tomcat/conf/tomcat-users.xml配置文件,删除与工作无关的帐号。
例如tomcat1与运行、维护等工作无关,删除帐号:
<user username=”tomcat1” password=”tomcat” roles=”admin”>
基线符合性判定依据
2、检测操作
登陆tomcat默认页面http://ip:8080/manager/html,使用管理账号登陆
备注
4.1.2
安全基线项目名称
自定义错误信息
安全基线项说明
自定义Tomcat返回的错误信息
检测操作步骤
修改Tomcat_home\webapps\APP_NAME\WEB-INF\web.xml
1.3
适用于Tomcat。
第
2.1
2.1.1
安全基线项目名称
为不同的管理员分配不同的号
安全基线项说明
应按照用户分配账号,避免不同用户间共享账号,提高安全性。
检测操作步骤
1、参考配置操作
修改tomcat/conf/tomcat-users.xml配置文件,修改或添加帐号。
<user username=”tomcat” password=” Tomcat!234” roles=”admin”>
基线符合性判定依据
进入Tomcat_home\logs,打开一个日志文件,例如:catalina.2009-XX-YY.log,可以找到版本信息
2009-6-15 8:00:48 org.apache.catalina.core.StandardEngine start
信息: Starting Servlet Engine:ApacheTomcat/6.0.20
TomcatWeb服务器安全配置基线
Tomcat Web服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (5)2.1帐号 (5)2.1.1共享帐号管理* (5)2.1.2无关帐号管理* (5)2.2口令 (6)2.2.1密码复杂度 (6)2.2.2密码生存期 (7)2.3授权 (7)2.3.1用户权利指派* (7)第3章日志配置操作 (9)3.1日志配置 (9)3.1.1审核登录 (9)第4章IP协议安全配置 (10)4.1IP协议 (10)4.1.1支持加密协议* (10)第5章设备其他配置操作 (11)5.1安全管理 (11)5.1.1定时登出 (11)5.1.2错误页面处理 (11)5.1.3目录列表访问限制 (12)第6章评审与修订 (14)第1章概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Tomcat WEB服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。
1.2 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:支持中国移动集团公司管理信息系统部运行的Tomcat Web 服务器系统。
1.3 适用版本4.x、5.x、6.x版本的Tomcat Web服务器。
1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章帐号管理、认证授权2.1 帐号2.1.1共享帐号管理*2.1.2无关帐号管理*2.2 口令2.2.1密码复杂度2.2.2密码生存期2.3 授权2.3.1用户权利指派*第3章日志配置操作3.1 日志配置3.1.1审核登录第4章IP协议安全配置4.1 IP协议4.1.1支持加密协议*第5章设备其他配置操作5.1 安全管理5.1.1定时登出5.1.2错误页面处理检测操作步骤1、参考配置操作(1)查看tomcat/conf/web.xml文件:<error-page><error-code>404</error-code><location>/noFile.htm</location></error-page>……………<error-page><exception-type>ng.NullPointerException</exception-type> <location>/ error.jsp</location></error-page>基线符合性判定依据1、判定条件要求包含如下片段:备注5.1.3目录列表访问限制安全基线项目名称Tomcat目录列表安全基线要求项安全基线编号SBL-Tomcat-05-01-03安全基线项说明禁止tomcat列表显示文件检测操作步骤1、参考配置操作(1) 编辑tomcat/conf/web.xml配置文件,<init-param><param-name>listings</param-name> <param-value>true</param-value></init-param>把true改成false(2)重新启动tomcat服务基线符合性判定依据1、判定条件当WEB目录中没有默认首页如index.html,index.jsp等文件时,不会列出目录内容2、检测操作第6章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。
WebSphere Web服务器安全配置基线
WebSphere Web服务器安全配置基线备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (4)2.1帐号 (4)2.1.1应用程序角色 (4)2.1.2控制台帐号安全 (5)2.1.3口令管理 (5)2.1.4密码复杂度 (6)2.2认证授权 (7)2.2.1控制台安全 (7)2.2.2全局安全性与Java2安全 (7)第3章日志配置操作 (9)3.1日志配置 (9)3.1.1日志与记录 (9)第4章备份容错 (10)4.1备份容错 (10)第5章设备其他配置操作 (11)5.1安全管理 (11)5.1.1控制台超时设置 (11)5.1.2示例程序删除 (11)5.1.3错误页面处理 (12)5.1.4文件访问限制 (12)5.1.5目录列出访问限制 (12)5.1.6控制目录权限 (13)5.1.7补丁管理* (13)第6章评审与修订 (15)第1章概述1.1 目的本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。
1.2 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
1.3 适用版本6.x版本的WebSphere Web服务器。
1.4 实施1.5 例外条款第2章帐号管理、认证授权2.1 帐号应用程序角色控制台帐号安全口令管理密码复杂度2.2 认证授权控制台安全全局安全性与Java2安全第3章日志配置操作3.1 日志配置日志与记录第4章备份容错4.1 备份容错第5章设备其他配置操作5.1 安全管理控制台超时设置示例程序删除错误页面处理文件访问限制目录列出访问限制控制目录权限补丁管理*第6章评审与修订。
tomcat安全配置基线v1.0
<error-code>404</error-code> <location>/404.htm</location>
</error-page> <error-page>
<error-code>500</error-code> <location>/500.htm</location>
<role rolename="tomcat"/> <role rolename="role1"/> <user username="tomcat" password="tomcat" roles="tomcat"/> <user username="both" password="tomcat" roles="tomcat,role1"/> <user username="role1" password="tomcat" roles="role1"/> --> 在tomcat/lib目录下: 1.找到catalina.jar,使用unzip catalina.jar解压; 2.cd org/apache/catalina/util; 3.vi ServerInfo.properties; 4.修改以下两行: =Apache Tomcat #版本号已去掉 server.number=0.0.0.0 #版本号已去掉 5.返回lib层目录,将文件重新打包成jar: jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties; 默认telnet 8005端口并输入"SHUTDOWN"即可关闭tomcat服务,这很不安全。打开 conf/server.xml文件,修改以下内容: <Serverport="未被占用的端口(1024以上)" shutdown="较为复杂的字符串"> <Hostname="localhost" appBase="webapps" unpackWARs="false" autoDeploy="false" xmlValidation="false" xmlNamespaceAware="false">
TongWeb 服务器安全配置基线
TongWeb服务器安全配置基线TongWeb服务器安全配置基线备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章账号管理、认证授权 (1)2.1帐号 (1)2.1.1应用帐号分配 (1)2.1.2用户口令设置 (2)2.1.3用户帐号删除 (3)2.2认证授权 (4)2.2.1控制台安全 (4)第3章日志配置操作 (6)3.1日志配置 (6)3.1.1日志与记录 (6)第4章备份容错 (8)4.1备份容错 (8)第5章IP协议安全配置 (9)5.1IP通信安全协议 (9)第6章设备其他配置操作 (11)6.1安全管理 (11)6.1.1禁止应用程序可显 (11)6.1.2端口设置* (12)6.1.3错误页面处理 (13)第7章评审与修订 (15)第1章概述1.1 目的本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。
1.2 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
1.3 适用版本5.x版本的TongWeb服务器。
1.4 实施1.5 例外条款第2章账号管理、认证授权2.1 帐号2.1.1应用帐号分配修改用户直接点击用户名,进行修改,如图:1、判定条件各账号都可以登录TongWeb服务器为正常。
2.1.2用户口令设置1、判定条件检查帐号口令是否符合口令复杂度要求。
2.1.3用户帐号删除2.2 认证授权2.2.1控制台安全选择“admin”,如下图:第3章日志配置操作3.1 日志配置3.1.1日志与记录第4章备份容错4.1 备份容错第5章IP协议安全配置5.1 IP通信安全协议2、修改tongweb的配置文件twn.xml,如图所示:1、判定条件使用https方式登陆TongWeb服务器页面,登陆成功2、检测操作使用https方式登陆TongWeb服务器管理页面ip:https://ip:8445/twns第6章设备其他配置操作6.1 安全管理6.1.1禁止应用程序可显如果希望显示,可进行如图操作:6.1.2端口设置*定制部署到该虚拟主机上的所有web应用的错误页面,每个web应用都可以在自己的web.xml里覆盖这个配置,属性值分为3个部分:code指定错误号,path指定错误页的绝对路径,reason指定错误原因。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
TongWeb服务器安全配置基线页脚内容1备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
页脚内容2目录第1章...................................................................................................... 概述01.1 .............................................................................................................. 目的1.2 ..................................................................................................... 适用范围1.3 ..................................................................................................... 适用版本1.4 ............................................................................................................. 实施1.5 ..................................................................................................... 例外条款第2章 ........................................................................... 账号管理、认证授权02.1 ............................................................................................................. 帐号2.1.1 ....................................................................................... 应用帐号分配2.1.2 ....................................................................................... 用户口令设置页脚内容22.1.3 ....................................................................................... 用户帐号删除42.2 ..................................................................................................... 认证授权52.2.1 ........................................................................................... 控制台安全5第3章 ...................................................................................... 日志配置操作83.1 ..................................................................................................... 日志配置83.1.1 ........................................................................................... 日志与记录8第4章 ............................................................................................. 备份容错114.1 ..................................................................................................... 备份容错11第5章 .................................................................................. IP协议安全配置135.1 ......................................................................................... IP通信安全协议页脚内容I13第6章 ............................................................................... 设备其他配置操作166.1 ..................................................................................................... 安全管理166.1.1 ................................................................................ 禁止应用程序可显166.1.2 ............................................................................................. 端口设置*186.1.3 ....................................................................................... 错误页面处理19第7章 .......................................................................................... 评审与修订22页脚内容II第1章概述1.1目的本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。
1.2适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
1.3适用版本5.x版本的TongWeb服务器。
1.4实施1.5例外条款第2章账号管理、认证授权2.1帐号2.1.1应用帐号分配页脚内容0基线项目名称安全基线编号SBL-TongWeb-02-01-01安全基线项说明应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
检测操作步骤启动tongweb的控制台,选择列表中的安全域,点击管理用户,如图操作:点击新建,建立用户账号,如图操作:页脚内容1修改用户直接点击用户名,进行修改,如图:基线符合性判定依据1、判定条件各账号都可以登录TongWeb服务器为正常。
2、检测操作访问http://ip:8080/twns管理页面,进行TongWeb服务器配置找安全服务下的安全域即可。
备注2.1.2用户口令设置安全基线项目名称TongWeb用户口令设置安全基线要求项页脚内容2安全基线编号SBL-TongWeb-02-01-02安全基线项说明对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测操作步骤进行口令的修改或者添加,如图操作:基线符合性判定依据1、判定条件检查帐号口令是否符合口令复杂度要求。
2、检测操作人工检查登录页面测试帐号口令是否符合;页脚内容3备注2.1.3用户帐号删除TongWeb用户帐号删除安全基线要求项安全基线项目名称SBL-TongWeb-02-01-03安全基线编号安全应用删除或锁定与设备运行、维护等工作无关的账号。
基线项说明删除无关用户,如图操作:检测操作步骤基线1、判定条件页脚内容42.2认证授权2.2.1控制台安全登陆管理控制台,“服务配置”“WEB容器”“虚拟主机”,如下图:页脚内容5选择“admin”,如下图:允许访问的远程地址:具体的IP或正则表达式。
本例中为正则表达式:10\.110\.111\.([1][9][3-9]|[2][0-5][0-9]),允许10.110.111.193-255网段的IP访问管理控制台基线该设置需要重启TongWeb才能生效符合性判定依据备注页脚内容6页脚内容7第3章日志配置操作3.1日志配置3.1.1日志与记录页脚内容8日志格式如图:基线符合性判定依据1、判定条件查看logs目录中相关日志文件内容,记录完整2、检测操作查看localhost_access_log.2012-03-07.log中相关日志记录页脚内容9页脚内容10第4章备份容错4.1备份容错页脚内容11页脚内容12第5章IP协议安全配置5.1IP通信安全协议页脚内容132、修改tongweb的配置文件twn.xml,如图所示:重新登录tongweb控制台,结果如图:页脚内容14基线符合性判定依据1、判定条件使用https方式登陆TongWeb服务器页面,登陆成功2、检测操作使用https方式登陆TongWeb服务器管理页面ip:https://ip:8445/twns备注页脚内容15第6章设备其他配置操作6.1安全管理6.1.1禁止应用程序可显安全基线项目名称TongWeb控制台超时设置安全基线要求项安全基线编号SBL-TongWeb-06-01-01安全基线项说明可以避免访问应用时,暴露应用目录下有哪些文件。
检测操作步骤为了防止如下图所示的显示应用目录的情况的发生,TongWeb默认为不显示目录结构:页脚内容16如果希望显示,可进行如图操作:说明:不需要重启tongweb。
基线符合性判定依据1、判定条件勾选显示目录,有详细应用列表。