Tomcat系统安全配置基线
Tomcat安全基线
Tomcat中间件安全配置基线加固操作指导书
佛山供电局信息中心
2014年4月
目录
1.1 Tomcat安全基线要求 (3)
1.1.1 对登录Tomcat的用户进行身份鉴别 (3)
1.1.2 限制管理中间件用户权限 (3)
1.1.3 修改默认口令 (4)
1.1.4 访问日志审计功能 (4)
1.1.5 保护日志审计 (5)
1.1.6 限制超时连接 (5)
1.1.7 修改SHUTDOWN字符串 (5)
1.1.8 禁止目录遍历操作 (6)
1.1.9 防止版本信息泄漏 (6)
1.1.10 自定义错误信息 (7)
1.1 Tomcat安全基线要求
1.1.1 对登录Tomcat的用户进行身份鉴别
1.1.2 限制管理中间件用户权限
1.1.3 修改默认口令
1.1.4 访问日志审计功能
1.1.5 保护日志审计
1.1.6 限制超时连接
1.1.7 修改SHUTDOWN字符串
1.1.8 禁止目录遍历操作
1.1.9 防止版本信息泄漏
1.1.10 自定义错误信息。
Tomcat安装及配置教程
Tomcat安装及配置教程Tomcat安装及配置教程Tomcat 服务器是⼀个免费的开放源代码的Web 应⽤服务器,属于轻量级应⽤服务器,在中⼩型系统和并发访问⽤户不是很多的场合下被普遍使⽤,是开发和调试JSP 程序的⾸选。
今天就在这⾥教⼤家如何进⾏安装以及配置。
操作⽅法01⾸先第⼀步,进⼊官⽹进⾏下载,选择Download下你要安装的版本进⾏下载。
02此次下载的是windows安装版,直接点击即可安装,但在安装前必须要进⾏环境设置——>设置Tomcat运⾏时依赖的SDK。
设置⽅法:选择我的电脑->属性->⾼级系统设置->环境变量->⽤户变量下选择"新建" 如下图所⽰:其中变量值为:SDK的安装路径。
03之后便是安装过程。
选择“Next”。
04选择“I Agree”。
05此处只选择设置User Name和Password其它选项选择默认值。
06选择你电脑上已安装的jre路径。
07选择“Tomcat”的安装路径。
08这⾥我们先取消上⾯两个选项,单击“Finish”完成安装。
09Tomcat 的主⽬录⽂件详解:Tomcat的主⽬录⽂件夹有以下⼏个:1. bin:⽤于存放启动和关闭tomcat的可执⾏⽂件。
2. lib:⾥⾯存放需要的jar包。
3. conf:tomcat的各种配置⽂件,tomcat启动时需要读取的配置⽂件主要有:server.xml,web.xml,tomcat-users.xml等等。
服务器的修改都要从此⽬录中进⾏。
4. logs:⽇志⽂件,如果服务器出现错误,会⾃动记录。
5. server:服务器的管理程序。
6. webapps:所有的可执⾏的web项⽬都会放到此⽬录中。
7. work:tomcat把各种由jsp⽣成的servlet都放在了这个⽂件夹下,⾥⾯包含.java⽂件和.class⽂件。
10启动Tomcat启动Tomcat我们可以直接运⾏bin⽬录下的 Tomcat6.exe 可执⾏⽂件如出现下⾯的效果则说明Tomcat启动成功了。
TongWeb 服务器安全配置基线
TongWeb服务器安全配置基线页脚内容1备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
页脚内容2目录第1章...................................................................................................... 概述01.1 .............................................................................................................. 目的1.2 ..................................................................................................... 适用范围1.3 ..................................................................................................... 适用版本1.4 ............................................................................................................. 实施1.5 ..................................................................................................... 例外条款第2章 ........................................................................... 账号管理、认证授权02.1 ............................................................................................................. 帐号2.1.1 ....................................................................................... 应用帐号分配2.1.2 ....................................................................................... 用户口令设置页脚内容22.1.3 ....................................................................................... 用户帐号删除42.2 ..................................................................................................... 认证授权52.2.1 ........................................................................................... 控制台安全5第3章 ...................................................................................... 日志配置操作83.1 ..................................................................................................... 日志配置83.1.1 ........................................................................................... 日志与记录8第4章 ............................................................................................. 备份容错114.1 ..................................................................................................... 备份容错11第5章 .................................................................................. IP协议安全配置135.1 ......................................................................................... IP通信安全协议页脚内容I13第6章 ............................................................................... 设备其他配置操作166.1 ..................................................................................................... 安全管理166.1.1 ................................................................................ 禁止应用程序可显166.1.2 ............................................................................................. 端口设置*186.1.3 ....................................................................................... 错误页面处理19第7章 .......................................................................................... 评审与修订22页脚内容II第1章概述1.1目的本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。
终端安全配置基线名词解释
终端安全配置基线名词解释
安全配置基线是操作系统,DB,中间件,网络设备(交换机,路由器,防火墙),终端PC设备上设置的基本配置项。
除了软件系统最基本最重要的安全配置,还需要符合国家信息安全政策法规及监管要求。
人行,四部委,国家标准化管理委员会,质量监督检验检疫总局等都发布过相关指引文件。
一般都要新建基线,然后持续维护修订。
系统复杂的,基线规范和手册需要进行分离编写。
规范类似宪法,手册类似各种普通法律法规。
规范指导手册。
里面应该明确每年什么时间,对什么配置进行哪些项目的检查。
上线前后,开发环境,生产环境都需要按照基线规范进行检查。
比如中间件:Apache,Tomcat,Nginx,Weblogic,IBM MQ,Tuexdo,Kafka 等需要确认日志配置(符合监管,设置日志门卫,不能所有信息都打出来),账号口令设置定期修改策略,账号登录系统多久超时强制下线,端口设置,目录权限(主目录一般小于775),配置文件权限(一般小于775)。
Tomcat系统安全配置基线
1、参考配置操作
在tomcat/conf/配置文件中设置密码
<user username=”tomcat” password=”Tomcat!234” roles=”admin”>
2、补充操作说明
口令要求:长度至少12位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
基线符合性判定依据
</error-page>
基线符合性判定依据
查看Tomcat_home\webapps\APP_NAME\WEB-INF\中<error-page> </error-page>部分的设置
备注
4.1.3
安全基线项目名称
对敏感目录的访问IP或主机名进行限制
安全基线项说明
对敏感目录的访问IP或主机名进行限制
2、补充操作说明
1、根据不同用户,取不同的名称。
基线符合性判定依据
询问管理员是否安装需求分配用户号
备注
2.1.2
安全基线项目名称
删除或锁定无效账号
安全基线项说明
删除或锁定无效的账号,减少系统安全隐患。
检测操作步骤
参考配置操作
修改tomcat/conf/配置文件,删除与工作无关的帐号。
例如tomcat1与运行、维护等工作无关,删除帐号:
connectionTimeout="300" disableUploadTimeout="true" />
基线符合性判定依据
1、判定条件
查看tomcat/conf/
2、检测操作
备注
4.1.2
安全基线项目名称
自定义错误信息
安全基线项说明
安全基线配置检查
安全基线配置检查随着互联网的普及和网络攻击的日益频繁,确保系统和网络的安全性成为了企业和个人必须要关注和重视的问题。
而安全基线配置检查则是一种有效的手段,可以帮助我们评估系统和网络的安全性,并采取相应的措施来提高安全性。
安全基线配置检查是指对系统和网络的各项配置进行检查和评估,以确定是否符合安全基线的要求。
安全基线是指根据安全标准和最佳实践所制定的一系列安全配置要求。
通过对系统和网络的配置进行检查,可以发现潜在的安全风险和漏洞,并及时采取措施进行修复,以保护系统和网络的安全。
安全基线配置检查主要包括以下几个方面:1. 操作系统配置检查:检查操作系统的配置是否符合安全要求,包括密码策略、访问控制、日志记录等方面。
例如,密码策略要求密码的复杂度较高,用户锁定策略设置合理,日志记录开启并定期审计等。
2. 网络设备配置检查:检查网络设备的配置是否符合安全要求,包括防火墙、路由器、交换机等设备。
例如,防火墙的配置是否严格,路由器的访问控制列表是否设置合理等。
3. 应用程序配置检查:检查应用程序的配置是否符合安全要求,包括数据库、Web服务器、邮件服务器等应用程序。
例如,数据库的访问权限是否受限,Web服务器的安全设置是否完善等。
4. 安全补丁和更新检查:检查系统和应用程序是否安装了最新的安全补丁和更新,以修复已知的安全漏洞。
及时安装安全补丁和更新可以有效防止黑客利用已知漏洞进行攻击。
5. 安全策略和权限检查:检查系统和网络的安全策略和权限设置是否合理。
例如,用户的权限是否严格控制,敏感数据的访问权限是否受限等。
通过安全基线配置检查,可以及时发现系统和网络的安全隐患,并采取相应的措施来提高安全性。
但是,在进行安全基线配置检查时,也需要注意以下几个问题:1. 安全配置不是唯一的:安全配置并没有统一的标准,不同的安全标准和最佳实践可能会有所不同。
因此,在进行安全基线配置检查时,需要根据企业或个人的实际情况来确定安全配置的要求。
各类操作系统安全基线配置及操作指南
置要求及操作指南
检查模块 支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本 2.6 以上 Oracle Oracle 8i 以上 SQL Server Microsoft SQL Server 2000以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x 以上 WebLogic WebLogic 8.X以上
Windows 操作系统 安全配置要求及操作指南
I
目录
目
录 ..................................................................... I
前
言 .................................................................... II
4 安全配置要求 ............................................................... 2
4.1 账号 ..................................................................... 2
4.2 口令 编号: 1 要求内容 密码长度要求:最少 8 位 密码复杂度要求:至少包含以下四种类别的字符中的三种: z 英语大写字母 A, B, C, , Z z 英语小写字母 a, b, c, , z z 阿拉伯数字 0, 1, 2, , 9 z 非字母数字字符,如标点符号, @, #, $, %, &, *等
操作系统安全基线配置
操作系统安全基线配置要求为不同用户分配独立的帐户,不允许多个用户共享同一帐户。
应删除或锁定过期或无用的帐户。
只允许指定授权帐户对主机进行远程访问。
应根据实际需要为各个帐户分配最小权限。
应对Administrator帐户进行重命名,并禁用Guest(来宾)帐户。
要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
设置口令的最长使用期限小于90天,并配置操作系统用户不能重复使用最近5次(含5次)已使用过的口令。
当用户连续认证失败次数为5次时,应锁定该帐户30分钟。
2.2.服务及授权安全应关闭不必要的服务。
应设置SNMP接受团体名称不为public或弱字符串。
确保系统时间与NTP服务器同步。
配置系统DNS指向企业内部DNS服务器。
2.3.补丁安全应确保操作系统版本更新至最新。
应在确保业务不受影响的情况下及时更新操作系统补丁。
2.4.日志审计应合理配置系统日志审核策略。
应设置日志存储规则,保证足够的日志存储空间。
更改日志默认存放路径,并定期对系统日志进行备份。
2.5.系统防火墙应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
2.6.防病毒软件应安装由总部统一部署的防病毒软件,并及时更新。
2.7.关闭自动播放功能应关闭Windows自动播放功能。
2.8.共享文件夹应关闭Windows本地默认共享。
设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。
2.9.登录通信安全应禁止远程访问注册表路径和子路径。
设置远程登录帐户的登录超时时间为30分钟。
禁用匿名访问命名管道和共享。
1.帐户共用:每个用户应分配一个独立的系统帐户,不允许多个用户共享同一个帐户。
2.帐户锁定:过期或无用的帐户应该被删除或锁定。
3.超级管理员远程登录限制:应限制root帐户的远程登录。
4.帐户权限最小化:为每个帐户设置最小权限,以满足其实际需求。
5.口令长度及复杂度:操作系统帐户口令长度应至少为8位,且应包含数字、字母和特殊符号中的至少2种组合。
安全基线配置检查
安全基线配置检查安全基线配置检查是一种常见的安全检查方法,它可以帮助企业和组织确保其计算机系统的安全性。
安全基线配置检查是通过检查计算机系统的配置文件和设置来确定系统是否符合安全标准。
在本文中,我们将探讨安全基线配置检查的重要性、实施步骤以及如何解决常见问题。
安全基线配置检查的重要性安全基线配置检查是确保计算机系统安全的关键步骤之一。
通过检查计算机系统的配置文件和设置,可以确定系统是否符合安全标准。
这些标准通常是由行业组织、政府机构或安全专家制定的。
如果计算机系统不符合这些标准,那么它就容易受到攻击,从而导致数据泄露、系统崩溃或其他安全问题。
实施步骤安全基线配置检查通常包括以下步骤:1. 确定安全标准:首先,需要确定适用于计算机系统的安全标准。
这些标准通常是由行业组织、政府机构或安全专家制定的。
2. 收集配置信息:然后,需要收集计算机系统的配置信息。
这些信息包括操作系统、应用程序、网络设置等。
3. 比较配置信息:将收集的配置信息与安全标准进行比较,以确定系统是否符合标准。
4. 发现问题:如果系统不符合标准,则需要发现问题并记录下来。
5. 解决问题:最后,需要解决发现的问题,以确保计算机系统符合安全标准。
常见问题及解决方法在进行安全基线配置检查时,可能会遇到以下常见问题:1. 配置信息不完整:如果收集的配置信息不完整,则可能会导致无法确定系统是否符合安全标准。
解决方法是确保收集的配置信息完整。
2. 标准不明确:如果安全标准不明确,则可能会导致无法确定系统是否符合标准。
解决方法是确保使用的安全标准明确。
3. 问题解决困难:如果发现的问题难以解决,则可能需要寻求专业帮助。
解决方法是寻求专业帮助。
总结安全基线配置检查是确保计算机系统安全的关键步骤之一。
通过检查计算机系统的配置文件和设置,可以确定系统是否符合安全标准。
在实施安全基线配置检查时,需要确定适用于计算机系统的安全标准、收集配置信息、比较配置信息、发现问题并解决问题。
网络安全基线核查
1.前言1.1.术语、定义(1)合规性(Compliance)企业或者组织为了履行遵守法律法规要求的承诺,建立、实施并保持一个或多个程序,以定期评价对适用法律法规的遵循情况的一项管理措施。
(2)资产(Asset)信息系统安全策略中所保护的信息或资源。
(3)计算机信息系统(Computer information system)由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
(4)保密性(Confidentiality)使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。
(5)安全服务(Security service)根据安全策略,为用户提供的某种安全功能及相关的保障。
2.服务概述2.1.服务概念基线核查服务是根据相关标准或规范,结合最佳实践,对客户的硬件资产(如:主机设备、网络设备、安全设备、办公终端等)和软件系统(如:操作系统、数据库、中间件和常用服务协议等)进行安全配置的核查,识别出现有安全配置与普适性规范或行业规范的安全配置要求之间的差距,并提供相关优化建议。
2.2.服务必要性基线核查是检验信息系统安全措施中的一种检查方式,信息系统拥有者往往需要在达到相对安全状态下所需要付出的成本与承受安全风险带来的损失之间寻找平衡。
而安全基线正是这个平衡的合理分界线。
基线核查服务,一方面可以根据基线核查的结果进行安全加固提升安全防护能力,减少信息系统的脆弱性,进而降低信息系统面临的安全风险;一方面可以满足合规性检查和国家政策要求。
2.3.服务收益通过以工具为主,人工为辅的方法,对客户的硬件资产和软件系统的安全策略配置进行科学、全面、认真地检查,输出专业的基线核查安全评估报告,通过该服务可以实现包括但不限于以下价值:●帮助客户充分掌握当前 IT 设备的配置情况,了解潜在的 IT 设备、系统的配置隐患和安全风险。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
tomcat:具有读和运行权限;
admin:具有读、运行和写权限;
manager:具有远程管理权限。
Tomcat 6.0.18版本只有admin和manager两种用户角色,且admin用户具有manager管理权限。
2、Tomcat 4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。
2、补充操作说明
口令要求:长度至少12位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
基线符合性判定依据
检查配置文件
查看tomcat/conf/tomcat-users.xml文件
策略设置
备注
2.2.2
安全基线项目名称
权限最小化
安全基线项说明
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
将以下内容的注释标记< ! -- -- >取消
<valve classname=”org.apache.catalina.valves.AccessLogValve”
Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt”
Pattern=”common” resloveHosts=”false”/>
2、检测操作
登陆tomcat默认页面http://ip:8080/manager/html,使用管理账号登陆
备注
4.1.2
安全基线项目名称
检测操作步骤
1、参考配置操作
编辑tomcat/conf/tomcat-user.xml配置文件,修改用户角色权限
授权tomcat具有远程管理权限:
Hale Waihona Puke <user username=”tomcat” password=”chinamobile”
roles=”admin,manager”>
2、补充操作说明
1、Tomcat 4.x和5.x版本用户角色分为:role1,tomcat,admin,manager四种。
检测操作步骤
参考配置操作
修改tomcat/conf/tomcat-users.xml配置文件,删除与工作无关的帐号。
例如tomcat1与运行、维护等工作无关,删除帐号:
<user username=”tomcat1” password=”tomcat” roles=”admin”>
基线符合性判定依据
基线符合性判定依据
查看配置文件策略配置
业务测试正常
备注
第3章
3.1
安全基线项目名称
启用日志记录功能
安全基线项说明
应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。
检测操作步骤
1、参考配置操作
编辑server.xml配置文件,在<HOST>标签中增加记录日志功能
enableLookups="false" redirectPort="8443" acceptCount="100"
connectionTimeout="300" disableUploadTimeout="true" />
基线符合性判定依据
1、判定条件
查看tomcat/conf/server.xml
检测操作步骤
参考配置操作
编辑tomcat/conf/server.xml配置文件,修改为30秒
<Connector
port="8080" maxHttpHeaderSize="8192" maxThreads="150"
minSpareThreads="25" maxSpareThreads="75"、
Tomcat系统安全配置基线
第1章
1.1
本文规定了Tomcat系统应当遵循的操作安全性设置标准,本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。
1.2
本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。
本配置标准适用的范围包括:Tomcat系统。
2、补充操作说明
classname: This MUST be set to
org.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60
Directory:日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专门放置日志文件的,也可以修改为其他路径;
2、补充操作说明
1、根据不同用户,取不同的名称。
2、Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。
基线符合性判定依据
询问管理员是否安装需求分配用户号
备注
2.1.2
安全基线项目名称
删除或锁定无效账号
安全基线项说明
删除或锁定无效的账号,减少系统安全隐患。
1.3
适用于Tomcat。
第2章
2.1
2.1.1
安全基线项目名称
为不同的管理员分配不同的号
安全基线项说明
应按照用户分配账号,避免不同用户间共享账号,提高安全性。
检测操作步骤
1、参考配置操作
修改tomcat/conf/tomcat-users.xml配置文件,修改或添加帐号。
<user username=”tomcat” password=” Tomcat!234” roles=”admin”>
查看配置文件
备注
2.2
2.2.1
安全基线项目名称
密码复杂度
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少12位,包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检测操作步骤
1、参考配置操作
在tomcat/conf/tomcat-user.xml配置文件中设置密码
<user username=”tomcat” password=”Tomcat!234” roles=”admin”>
Prefix:这个是日志文件的名称前缀,日志名称为localhost_access_log.2008-10-22.txt,前面的前缀就是这个
基线符合性判定依据
判定条件
登录测试,检查相关信息是否被记录
查看server.xml文件
备注
第4章
4.1.1
安全基线项目名称
登录超时
安全基线项说明
对于具备字符交互界面的设备,应支持定时账户自动登出。登出后用户需再次登录才能进入系统。