Tomcat系统安全配置基线
Tomcat安全基线
Tomcat中间件安全配置基线加固操作指导书
佛山供电局信息中心
2014年4月
目录
1.1 Tomcat安全基线要求 (3)
1.1.1 对登录Tomcat的用户进行身份鉴别 (3)
1.1.2 限制管理中间件用户权限 (3)
1.1.3 修改默认口令 (4)
1.1.4 访问日志审计功能 (4)
1.1.5 保护日志审计 (5)
1.1.6 限制超时连接 (5)
1.1.7 修改SHUTDOWN字符串 (5)
1.1.8 禁止目录遍历操作 (6)
1.1.9 防止版本信息泄漏 (6)
1.1.10 自定义错误信息 (7)
1.1 Tomcat安全基线要求
1.1.1 对登录Tomcat的用户进行身份鉴别
1.1.2 限制管理中间件用户权限
1.1.3 修改默认口令
1.1.4 访问日志审计功能
1.1.5 保护日志审计
1.1.6 限制超时连接
1.1.7 修改SHUTDOWN字符串
1.1.8 禁止目录遍历操作
1.1.9 防止版本信息泄漏
1.1.10 自定义错误信息。
Tomcat安装及配置教程
Tomcat安装及配置教程Tomcat安装及配置教程Tomcat 服务器是⼀个免费的开放源代码的Web 应⽤服务器,属于轻量级应⽤服务器,在中⼩型系统和并发访问⽤户不是很多的场合下被普遍使⽤,是开发和调试JSP 程序的⾸选。
今天就在这⾥教⼤家如何进⾏安装以及配置。
操作⽅法01⾸先第⼀步,进⼊官⽹进⾏下载,选择Download下你要安装的版本进⾏下载。
02此次下载的是windows安装版,直接点击即可安装,但在安装前必须要进⾏环境设置——>设置Tomcat运⾏时依赖的SDK。
设置⽅法:选择我的电脑->属性->⾼级系统设置->环境变量->⽤户变量下选择"新建" 如下图所⽰:其中变量值为:SDK的安装路径。
03之后便是安装过程。
选择“Next”。
04选择“I Agree”。
05此处只选择设置User Name和Password其它选项选择默认值。
06选择你电脑上已安装的jre路径。
07选择“Tomcat”的安装路径。
08这⾥我们先取消上⾯两个选项,单击“Finish”完成安装。
09Tomcat 的主⽬录⽂件详解:Tomcat的主⽬录⽂件夹有以下⼏个:1. bin:⽤于存放启动和关闭tomcat的可执⾏⽂件。
2. lib:⾥⾯存放需要的jar包。
3. conf:tomcat的各种配置⽂件,tomcat启动时需要读取的配置⽂件主要有:server.xml,web.xml,tomcat-users.xml等等。
服务器的修改都要从此⽬录中进⾏。
4. logs:⽇志⽂件,如果服务器出现错误,会⾃动记录。
5. server:服务器的管理程序。
6. webapps:所有的可执⾏的web项⽬都会放到此⽬录中。
7. work:tomcat把各种由jsp⽣成的servlet都放在了这个⽂件夹下,⾥⾯包含.java⽂件和.class⽂件。
10启动Tomcat启动Tomcat我们可以直接运⾏bin⽬录下的 Tomcat6.exe 可执⾏⽂件如出现下⾯的效果则说明Tomcat启动成功了。
Tomcat安装及安全配置文档
Tomcat安装及安全配置文档目录1. Tomcat安装 (3)1.1 jdk安装及测试 (3)1.2 Tomcat安装配置 (5)1.3 Tomcat Windows服务启动配置 (5)2. Tomcat中添加admin模块 (7)3. 配置Tomcat服务器支持HTTPS (8)3.1 生成证书 (8)3.2 配置Tomcat (9)3.3 Https访问 (9)4.如何在一台机子上启动两个TOMCAT (9)5.Windows平台下tomcat安全设置 (10)6.Linux下Tomcat配置 (11)6.1 所需的软件包 (11)6.2 安装所需要软件 (11)6.3 设置环境变量 (11)6.4 编译生成mod_webapp.so (12)6.5 独立环境的测试 (12)6.6 整合安装设置 (13)6.7 整合测试 (13)1.Tomcat安装1.1 jdk安装及测试第一步:下载jdk和tomcat。
第二步:安装和配置你的jdk和tomcat:执行jdk和tomcat的安装程序,然后设置按照路径进行安装即可。
安装j2sdk以后,需要配置一下环境变量,在我的电脑->属性->高级->环境变量->系统变量中添加以下环境变量(假定你的jdk安装在c:\jdk1.6):1.新建系统环境变量中新建JA V A_HOMEJA V A_HOME=c:\jdk1.62.系统环境变量中新建”ClassPath”ClassPath=.;%JA V A_HOME%\lib\dt.jar;%JA V A_HOME%\lib\tools.jar;(.;一定不能少,因为它代表当前路径)3.在系统Path中添加Java的bin路径path=%JA V A_HOME%\bin打开cmd.exe,运行java -version指令,无错误显示,则表示jdk安装配置成功。
之后,可以运行javac指令。
TongWeb 服务器安全配置基线
TongWeb服务器安全配置基线页脚内容1备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
页脚内容2目录第1章...................................................................................................... 概述01.1 .............................................................................................................. 目的1.2 ..................................................................................................... 适用范围1.3 ..................................................................................................... 适用版本1.4 ............................................................................................................. 实施1.5 ..................................................................................................... 例外条款第2章 ........................................................................... 账号管理、认证授权02.1 ............................................................................................................. 帐号2.1.1 ....................................................................................... 应用帐号分配2.1.2 ....................................................................................... 用户口令设置页脚内容22.1.3 ....................................................................................... 用户帐号删除42.2 ..................................................................................................... 认证授权52.2.1 ........................................................................................... 控制台安全5第3章 ...................................................................................... 日志配置操作83.1 ..................................................................................................... 日志配置83.1.1 ........................................................................................... 日志与记录8第4章 ............................................................................................. 备份容错114.1 ..................................................................................................... 备份容错11第5章 .................................................................................. IP协议安全配置135.1 ......................................................................................... IP通信安全协议页脚内容I13第6章 ............................................................................... 设备其他配置操作166.1 ..................................................................................................... 安全管理166.1.1 ................................................................................ 禁止应用程序可显166.1.2 ............................................................................................. 端口设置*186.1.3 ....................................................................................... 错误页面处理19第7章 .......................................................................................... 评审与修订22页脚内容II第1章概述1.1目的本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。
终端安全配置基线名词解释
终端安全配置基线名词解释
安全配置基线是操作系统,DB,中间件,网络设备(交换机,路由器,防火墙),终端PC设备上设置的基本配置项。
除了软件系统最基本最重要的安全配置,还需要符合国家信息安全政策法规及监管要求。
人行,四部委,国家标准化管理委员会,质量监督检验检疫总局等都发布过相关指引文件。
一般都要新建基线,然后持续维护修订。
系统复杂的,基线规范和手册需要进行分离编写。
规范类似宪法,手册类似各种普通法律法规。
规范指导手册。
里面应该明确每年什么时间,对什么配置进行哪些项目的检查。
上线前后,开发环境,生产环境都需要按照基线规范进行检查。
比如中间件:Apache,Tomcat,Nginx,Weblogic,IBM MQ,Tuexdo,Kafka 等需要确认日志配置(符合监管,设置日志门卫,不能所有信息都打出来),账号口令设置定期修改策略,账号登录系统多久超时强制下线,端口设置,目录权限(主目录一般小于775),配置文件权限(一般小于775)。
Tomcat系统安全配置基线
1、参考配置操作
在tomcat/conf/配置文件中设置密码
<user username=”tomcat” password=”Tomcat!234” roles=”admin”>
2、补充操作说明
口令要求:长度至少12位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
基线符合性判定依据
</error-page>
基线符合性判定依据
查看Tomcat_home\webapps\APP_NAME\WEB-INF\中<error-page> </error-page>部分的设置
备注
4.1.3
安全基线项目名称
对敏感目录的访问IP或主机名进行限制
安全基线项说明
对敏感目录的访问IP或主机名进行限制
2、补充操作说明
1、根据不同用户,取不同的名称。
基线符合性判定依据
询问管理员是否安装需求分配用户号
备注
2.1.2
安全基线项目名称
删除或锁定无效账号
安全基线项说明
删除或锁定无效的账号,减少系统安全隐患。
检测操作步骤
参考配置操作
修改tomcat/conf/配置文件,删除与工作无关的帐号。
例如tomcat1与运行、维护等工作无关,删除帐号:
connectionTimeout="300" disableUploadTimeout="true" />
基线符合性判定依据
1、判定条件
查看tomcat/conf/
2、检测操作
备注
4.1.2
安全基线项目名称
自定义错误信息
安全基线项说明
安全基线配置检查
安全基线配置检查随着互联网的普及和网络攻击的日益频繁,确保系统和网络的安全性成为了企业和个人必须要关注和重视的问题。
而安全基线配置检查则是一种有效的手段,可以帮助我们评估系统和网络的安全性,并采取相应的措施来提高安全性。
安全基线配置检查是指对系统和网络的各项配置进行检查和评估,以确定是否符合安全基线的要求。
安全基线是指根据安全标准和最佳实践所制定的一系列安全配置要求。
通过对系统和网络的配置进行检查,可以发现潜在的安全风险和漏洞,并及时采取措施进行修复,以保护系统和网络的安全。
安全基线配置检查主要包括以下几个方面:1. 操作系统配置检查:检查操作系统的配置是否符合安全要求,包括密码策略、访问控制、日志记录等方面。
例如,密码策略要求密码的复杂度较高,用户锁定策略设置合理,日志记录开启并定期审计等。
2. 网络设备配置检查:检查网络设备的配置是否符合安全要求,包括防火墙、路由器、交换机等设备。
例如,防火墙的配置是否严格,路由器的访问控制列表是否设置合理等。
3. 应用程序配置检查:检查应用程序的配置是否符合安全要求,包括数据库、Web服务器、邮件服务器等应用程序。
例如,数据库的访问权限是否受限,Web服务器的安全设置是否完善等。
4. 安全补丁和更新检查:检查系统和应用程序是否安装了最新的安全补丁和更新,以修复已知的安全漏洞。
及时安装安全补丁和更新可以有效防止黑客利用已知漏洞进行攻击。
5. 安全策略和权限检查:检查系统和网络的安全策略和权限设置是否合理。
例如,用户的权限是否严格控制,敏感数据的访问权限是否受限等。
通过安全基线配置检查,可以及时发现系统和网络的安全隐患,并采取相应的措施来提高安全性。
但是,在进行安全基线配置检查时,也需要注意以下几个问题:1. 安全配置不是唯一的:安全配置并没有统一的标准,不同的安全标准和最佳实践可能会有所不同。
因此,在进行安全基线配置检查时,需要根据企业或个人的实际情况来确定安全配置的要求。
各类操作系统安全基线配置及操作指南
置要求及操作指南
检查模块 支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本 2.6 以上 Oracle Oracle 8i 以上 SQL Server Microsoft SQL Server 2000以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x 以上 WebLogic WebLogic 8.X以上
Windows 操作系统 安全配置要求及操作指南
I
目录
目
录 ..................................................................... I
前
言 .................................................................... II
4 安全配置要求 ............................................................... 2
4.1 账号 ..................................................................... 2
4.2 口令 编号: 1 要求内容 密码长度要求:最少 8 位 密码复杂度要求:至少包含以下四种类别的字符中的三种: z 英语大写字母 A, B, C, , Z z 英语小写字母 a, b, c, , z z 阿拉伯数字 0, 1, 2, , 9 z 非字母数字字符,如标点符号, @, #, $, %, &, *等
操作系统安全基线配置
操作系统安全基线配置要求为不同用户分配独立的帐户,不允许多个用户共享同一帐户。
应删除或锁定过期或无用的帐户。
只允许指定授权帐户对主机进行远程访问。
应根据实际需要为各个帐户分配最小权限。
应对Administrator帐户进行重命名,并禁用Guest(来宾)帐户。
要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
设置口令的最长使用期限小于90天,并配置操作系统用户不能重复使用最近5次(含5次)已使用过的口令。
当用户连续认证失败次数为5次时,应锁定该帐户30分钟。
2.2.服务及授权安全应关闭不必要的服务。
应设置SNMP接受团体名称不为public或弱字符串。
确保系统时间与NTP服务器同步。
配置系统DNS指向企业内部DNS服务器。
2.3.补丁安全应确保操作系统版本更新至最新。
应在确保业务不受影响的情况下及时更新操作系统补丁。
2.4.日志审计应合理配置系统日志审核策略。
应设置日志存储规则,保证足够的日志存储空间。
更改日志默认存放路径,并定期对系统日志进行备份。
2.5.系统防火墙应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
2.6.防病毒软件应安装由总部统一部署的防病毒软件,并及时更新。
2.7.关闭自动播放功能应关闭Windows自动播放功能。
2.8.共享文件夹应关闭Windows本地默认共享。
设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。
2.9.登录通信安全应禁止远程访问注册表路径和子路径。
设置远程登录帐户的登录超时时间为30分钟。
禁用匿名访问命名管道和共享。
1.帐户共用:每个用户应分配一个独立的系统帐户,不允许多个用户共享同一个帐户。
2.帐户锁定:过期或无用的帐户应该被删除或锁定。
3.超级管理员远程登录限制:应限制root帐户的远程登录。
4.帐户权限最小化:为每个帐户设置最小权限,以满足其实际需求。
5.口令长度及复杂度:操作系统帐户口令长度应至少为8位,且应包含数字、字母和特殊符号中的至少2种组合。
中间件安全基线配置标准
中间件weblogic安全基线配置标准目录第1章账号管理、认证授权 (3)1.1账号管理 (3)1.1.1系统启动账号 (3)1.1.2帐号锁定策略 (3)1.2口令 (4)1.2.1密码复杂度 (4)第2章日志配置操作 (4)2.1日志配置 (4)2.1.1审核登录 (4)第3章IP协议安全配置 (6)3.1IP 协议 (6)3.1.1支持加密协议 (6)3.1.2限制应用服务器Socket数量 (7)3.1.3禁用Send ServerHeader (7)第4章其他配置操作 (8)4.1登录安全管理 (8)4.1.1定时登出 (8)4.1.2更改默认端口 (8)4.1.3错误页面处理 (9)4.1.4目录列表访问限制 (9)第1章账号管理、认证授权1.1账号管理1.1.1系统启动账号1.1.2帐号锁定策略1.2 口令1.2.1密码复杂度第2章日志配置操作2.1日志配置2.1.1审核登录第3章IP协议安全配置3.1IP协议3.1.1支持加密协议3.1.2限制应用服务器Socket数量3.1.3禁用Send Server Header第4章其他配置操作4.1登录安全管理4.1.1定时登出4.1.2更改默认端口4.1.3错误页面处理4.1.4目录列表访问限制中间件tomcat安全基线配置标准第1章账号管理、认证授权 (12)1.1账号管理 (12)1.1.1共享帐号管理 (12)1.1.2无关帐号管理 (12)1.2口令 (13)1.2.1密码复杂度 (13)1.3授权 (13)1.3.1用户权利指派 (13)第2章日志配置操作 (14)2.1日志配置 (14)2.1.1审核登录 (14)第3章其他配置操作 (15)3.1访问权限 (15)3.1.1定时登出 (15)3.2防攻击管理 (15)3.2.1错误页面处理 (15)3.2.2目录列表访问限制 (16)3.2.3禁用危险HTTP方法 (17)11第1章账号管理、认证授权1.1账号管理1.1.1共享帐号管理1.1.2无关帐号管理121.2 口令1.2.1密码复杂度1.3授权1.3.1用户权利指派第2章日志配置操作2.1日志配置2.1.1审核登录第3章其他配置操作3.1访问权限3.1.1定时登出3.2防攻击管理3.2.1错误页面处理153.2.2目录列表访问限制3.2.3禁用危险HTTP方法17。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
参考配置操作
修改tomcat/conf/tomcat-users.xml配置文件,删除与工作无关的帐号。
例如tomcat1与运行、维护等工作无关,删除帐号:
<user username=”tomcat1” password=”tomcat” roles=”admin”>
基线符合性判定依据
2、检测操作
登陆tomcat默认页面http://ip:8080/manager/html,使用管理账号登陆
备注
4.1.2
安全基线项目名称
自定义错误信息
安全基线项说明
自定义Tomcat返回的错误信息
检测操作步骤
修改Tomcat_home\webapps\APP_NAME\WEB-INF\web.xml
1.3
适用于Tomcat。
第
2.1
2.1.1
安全基线项目名称
为不同的管理员分配不同的号
安全基线项说明
应按照用户分配账号,避免不同用户间共享账号,提高安全性。
检测操作步骤
1、参考配置操作
修改tomcat/conf/tomcat-users.xml配置文件,修改或添加帐号。
<user username=”tomcat” password=” Tomcat!234” roles=”admin”>
基线符合性判定依据
进入Tomcat_home\logs,打开一个日志文件,例如:catalina.2009-XX-YY.log,可以找到版本信息
2009-6-15 8:00:48 org.apache.catalina.core.StandardEngine start
信息: Starting Servlet Engine:ApacheTomcat/6.0.20
2、补充操作说明
classname: This MUST be set to
org.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60
Directory:日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专门放置日志文件的,也可以修改为其他路径;
<error-page>
<exception-type>ng.NullPointerException</exception-type>
<location>/ error.jsp</location>
</error-page>
基线符合性判定依据
查看Tomcat_home\webapps\APP_NAME\WEB-INF\web.xml中<error-page> </error-page>部分的设置
在最后</web-app>一行之前加入以下内容
(1)表示出现404未找到网页的错误时显示notfound.html页面
<error-page>
<error-code>404</error-code>
<location>/nofound.html</location>
</error-page>
(2)表示出现ng.NullPointerException错误时显示error.jsp页面
2、补充操作说明
1、根据不同用户,取不同的名称。
2、Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。
基线符合性判定依据
询问管理员是否安装需求分配用户号
备注
2.1.2
安全基线项目名称
删除或锁定无效账号
安全基线项说明
删除或锁定无效的账号,减少系统安全隐患。
allow="192.168.1.*" />
或者
<Valve className="org.apache.catalina.valves.RemoteHostValve"
allow="*" />
基线符合性判定依据
打开Tomcat_home\conf\Catalina\localhost\manager.xml
<param-value>false</param-value>
</init-param>
基线符合性判定依据
检查Tomcat_home\conf\web.xml配置文件中listings的值为false
备注
4.1.5
安全基线项目名称
补丁安装
安全基线项说明
安装新版本,修补漏洞
检测操作步骤
在/下载最新版Tomcat安装
role1:具有读权限;
tomcat:具有读和运行权限;
admin:具有读、运行和写权。
Tomcat 6.0.18版本只有admin和manager两种用户角色,且admin用户具有manager管理权限。
2、Tomcat 4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。
检测操作步骤
参考配置操作
编辑tomcat/conf/server.xml配置文件,修改为30秒
<Connector
port="8080" maxHttpHeaderSize="8192" maxThreads="150"
minSpareThreads="25" maxSpareThreads="75"、
查看是否设置有IP或主机名限制
备注
4.1.4
安全基线项目名称
禁止目录遍历
安全基线项说明
防止直接访问目录时由于找不到默认主页而列出目录下文件
检测操作步骤
打开Tomcat_home\conf\web.xml,查看listings是否设置为false
<init-param>
<param-name>listings</param-name>
查看配置文件
备注
2.2
2.2.1
安全基线项目名称
密码复杂度
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少12位,包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检测操作步骤
1、参考配置操作
在tomcat/conf/tomcat-user.xml配置文件中设置密码
<user username=”tomcat” password=”Tomcat!234” roles=”admin”>
Tomcat系统安全配置基线
第
1.1
本文规定了Tomcat系统应当遵循的操作安全性设置标准,本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。
1.2
本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。
本配置标准适用的范围包括:Tomcat系统。
在漏洞库中查询此版本存在的漏洞
备注
第
本文件由XXX定期进行审查,根据审查结果修订标准,并重新颁发执行。
Prefix:这个是日志文件的名称前缀,日志名称为localhost_access_log.2008-10-22.txt,前面的前缀就是这个
基线符合性判定依据
判定条件
登录测试,检查相关信息是否被记录
查看server.xml文件
备注
第
4.1.1
安全基线项目名称
登录超时
安全基线项说明
对于具备字符交互界面的设备,应支持定时账户自动登出。登出后用户需再次登录才能进入系统。
基线符合性判定依据
查看配置文件策略配置
业务测试正常
备注
第
3.1
安全基线项目名称
启用日志记录功能
安全基线项说明
应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。
检测操作步骤
1、参考配置操作
编辑server.xml配置文件,在<HOST>标签中增加记录日志功能
2、补充操作说明
口令要求:长度至少12位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
基线符合性判定依据
检查配置文件
查看tomcat/conf/tomcat-users.xml文件
策略设置
备注
2.2.2
安全基线项目名称
权限最小化
安全基线项说明
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
将以下内容的注释标记< ! -- -- >取消
<valve classname=”org.apache.catalina.valves.AccessLogValve”
Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt”
Pattern=”common” resloveHosts=”false”/>
enableLookups="false" redirectPort="8443" acceptCount="100"
connectionTimeout="300" disableUploadTimeout="true" />