还剩11页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
Tomcat Web服务器平安配置基线中国移动通信有限公司管理信息系统部年月202304第章协议平安配置4IP协议
4.1IP支持加密协议*
4.
1.1平安基线项目支持加密协议平安基线要求项Tomcat名称SBL-Tomcat-04-01-01平安基线编号平安基线项说对于通过协议进行远程维护的设备,设备应支持运用S等加密协议明检测操作步骤、参考配置操作1运用自带的工具生成一个证书1JDK keytoolJAVA_HOME/bin/keytool-genkey-alias tomcat-keyalg RSA-keystore/path/to/my/key store修改配置文件,更改为运用方式,增加如下2tomcat/conf/server.xml s行Connector classname=port=8443minProcessors=5maxprocessors=^^100”enableLookups=true acceptCount=,9l0debug=O廿scheme ssecure=true”Factory classname=cl ientA uth=,,fal se,9廿keystoreFile=/path/to/my/keystore“keystorePass=runway”protocol TLS7/Connector其中的值为生成时输入的密码keystorePass keystore重新启动服务3tomcat基线符合性判、判定条件1定依据运用s方式登陆tomcat服务器页面,登陆胜利、检测操作2运用方式登陆服务器管理页面s tomcat备注依据应用场景的不同,如部署场景需开启此功能,则强制要求此项第章设备其他配置操作5平安管理
5.1定时登出平安基线项目定时登出平安基线要求项Tomcat名称SBL-Tomcat-05-01-01平安基线编号平安基线项说对于具备字符交互界面的设备,应支持定时账户自动登出登出后用户需再次明登录才能进入系统检测操作步骤、参考配置操作1编辑配置文件,修改为秒tomcat/conf/server.xml300Connectorport=n8080max HeaderSize=8192H maxThreads=n150minSpareThreads=n25n maxSpareThreads=n75n enableLookups=nfalsen redirectPort=n8443H acceptCount=n100nconnectionTimeout=H300n disableUploadTimeout=ntruen/
2、补充操作说明基线符合性判、判定条件1定依据300秒自动登出、检测操作2登陆默认页面运用管理帐号登陆tomcat://ip:8080/manager/html,、补充说明3备注错误页面处理平安基线项目错误页面平安基线要求项Tomcat名称SBL-Tomcat-05-01-02平安基线编号错误页面重定向平安基线项说Tomcat明、参考配置操作查看文件检测操作步骤11tomcat/conf/web.xmlerror-pageerror-code404/error-codelocation/noFile.htm/location/error-pageerror-pageexception-typejava.lang.NullPointerException/exception-typelocation/error.j sp/location/error-page基线符合性判、判定条件1定依据要求包含如下片段etror-page4J exc eption-typ e*/exception-typ…》lo cationerror.html/lo cation/etror-page4J备注书目列表访问限制
5.L3平安基线项目书目列表平安基线要求项Tomcat名称SBL-Tomcat-05-01-03平安基线编号禁止列表显示文件平安基线项说tomcat明、参考配置操作检测操作步骤1编辑配置文件,1tomcat/conf/web.xmlinit-paramparam-namelistings/param-nameparam-val uetrue/param-val ue/init-param把改成true false重新启动服务2tomcat基线符合性判、判定条件1定依据当书目中没有默认首页如等文件时,不会列出书目内容WEB index.html,index.jsp、检测操作2干脆访问://ip:8800/webadd备注第章评审与修订6本标准由中国移动通信有限公司管理信息系统部定期进行审查,依据谛视结果修订标准,并颁发执行版本版本限制信息更新日期更新人审批人年月V
1.0创建20231年月V
2.0更新20234备注若此文档须要日后更新,请创建人填写版本限制表格,否则删除版本限制表格
1.第章概述14目的
1.14适用范围
1.24适用版本
1.34实施
1.44例夕卜条款
1.54第章帐号管理、认证授权25帐号
2.15共享帐号管理*5无关帐号管理”5口令
2.26密码困难度.6密码生存期.7授权
2.37用户权利指派”7第章日志配置操作39日志配置
3.19审核登录9第章协议平安配置4IP10协议
4.1IP10支持加密协议*10第章设备其他配置操作511平安管理
5.111定时登出11错误页面处理11书目列表访问限制72第章评审与修订614第章概述1目的
1.1本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的服务器Tomcat WEB应当遵循的平安性设置标准,本文档旨在指导系统管理人员进行服务器的平安配Tomcat WEB置适用范围
1.2本配置标准的运用者包括服务器系统管理员、应用管理员、网络平安管理员本配置标准适用的范围包括支持中国移动集团公司管理信息系统部运行的Tomcat Web服务器系统适用版本
1.
3、、版本的服务器
4.x
5.x
6.x Tomcat Web实施
1.4本标准的说明权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应刚好反馈本标准发布之日起生效例外条款
1.5欲申请本标准的例外条款,申请人必需打算书面申请文件,说明业务需求和缘由,送交中国移动通信有限公司管理信息系统部进行审批备案第章帐号管理、认证授权2帐号
2.1共享帐号管理*平安基线项目共享帐号管理平安基线要求项Tomcat名称SBL-Tomcat-02-01-01平安基线编号平安基线项说应依据用户安排帐号避开不同用户间共享帐号避开用户帐号和设备间通信明运用的帐号共享、参考配置操作检测操作步骤1修改配置文件,修改或添加帐号tomcat/conf/tomcat-users.xmluser username=tomcat“password=^^Tomcat!234roles=,,admin,,、补充操作说明
2、依据不同用户,取不同的名称
1、这三个版本及以后发行的版本默认都不存在配置文件2Tomcat admin.xml、判定条件基线符合性判1定依据各帐号都可以登录服务器为正常Tomcat Web、检测操作2访问管理页面,进行服务器管理://ip:8080/manager/html Tomcat备注手工检查无关帐号管理*平安基线项目无关帐号管理平安基线要求项Tomcat名称SBL-Tomcat-02-01-02平安基线编号平安基线项说应删除或锁定与设备运行、维护等工作无关的帐号明、参考配置操作1检测操作步骤修改配置文件,删除与工作无关的帐号tomcat/conf/tomcat-users.xml例如与运行、维护等工作无关,删除帐号tomcatluser username廿tomcatl”password=,,tomcaf,roles=,,admin,,、判定条件基线符合性判1定依据被删除的与工作无关的帐号不能正常登陆tomcatl、检测操作2访问管理页面,运用删除帐号进行登陆尝试://ip:8080/manager/html备注手工检查口令
2.2密码困难度平安基线项目密码困难度平安基线要求项Tomcat名称SBL-Tomcat-02-02-01平安基线编号平安基线项说对于采纳静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、明大写字母和特别符号四类中至少两类且5次以内不得设置相同的口令检测操作步骤、参考配置操作1在配置文件中设置密码tomcat/conf/tomcat-user.xmluser username=tomcat password=Tomcat!234’roles=admin”、补充操作说明2口令要求口令长度至少位,并包括数字、小写字母、大写字母和特别符号四8类中至少两类且次以内不得设置相同的口令5基线符合性判、判定条件1定依据检查配置文件中的帐号口令是否符合移动通过配置tomcat/conf/tomcat-user.xml口令困难度要求、检测操作2人工检查配置文件中帐号口令是否符合;1运用弱口令扫描工具定期对服务器进行远程扫描,检查2tomcat TomcatWeb是否存在弱口令帐号、补充说明3对于运用弱口令扫描工具进行检查时应留意扫描的线程数等方面,避开对服务器造成不必要的资源消耗;选择在服务器负荷较低的时间段进行扫描检查备注密码生存期平安基线项目笛码生存期平文基线要求项Tomcat名称SBL-Tomcat-02-02-02平安基线编号平安基线项说对于采纳静态口令认证技术的设备,应支持按天配置口令生存期功能,帐号口明令的生存期不长于90天检测操作步骤、参考配置操作1定期对管理服务器的帐号口令进行修改,间隔不长于天TomcatWeb90基线符合性判、判定条件1定依据90天后运用原帐号口令进行登陆尝试,登录不胜利;、检测操作2运用超过天的帐号口令进行登录尝试;90备注授权
2.3用户权利指派*231平安基线项目用户权利指派平安基线要求项Tomcat名称SBL-Tomcat-02-03-01平安基线编号平安基线项说在设备权限配置实力内,依据用户的业务须要,配置其所需的最小权限明检测操作步骤、参考配置操作1编辑配置文件,修改用户角色权限tomcat/conf/tomcat-user.xml授权具有远程管理权限tomcatuser username=tomcat“password=chinamobile”roles=,,admin,manager,,、补充操作说明
2、和版本用户角色分为四种1Tomcat
4.x
5.x rolel,tomcat,admin,manager具有读权限;rolel具有读和运行权限;tomcat具有读、运行和写权限;admin具有远程管理权限manager版本只有和两种用户角色,且用户具有管Tomcat adminmanager adminmanager理权限、和版本及以后发行的版本默认除用户外其他用户都不具有2Tomcat admin管理权限manager、判定条件基线符合性判1登陆远程管理页面,运用帐号进行登陆,登陆胜利定依据tomcat、检测操作2登陆页面,运用帐号登陆,进行远程管理://ip:8080/manager/html tomcat备注依据应用场景的不问,如部署场景需开启此功能,则强制要求此项第章日志配置操作3日志配置
3.1审核登录平安基线项目审核登录平安基线要求项Tomcat名称SBL-Tomcat-03-01-01平安基线编号平安基线项说设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录运用的帐明号,登录是否胜利,登录时间,以及远程登录时,用户运用的IP地址检测操作步骤、参考配置操作1编辑配置文件,在标签中增加记录日志功能将以下内容的注server.xml HOST释标记v!-取消valve classname=二二Directory=logs prefixlocalhost_access_log.Suffix〉Pattem=commorT resloveHosts=false”/、补充操作说明2classname:This MUSTbe settoorg.apache.catalina.valves.AccessLogValve touse thedefault accesslog valve.60日志文件放置的书目,在下面有个文件夹,那里面是特地放Directory:tomcat logs置日志文件的,也可以修改为其他路径;这个是日志文件的名称前缀,日志名称为Prefix:前面的前缀就是这个」localhost_access_log.2008-10-
22.txt,localhost_access og文件后缀名Suffix:方式时,将记录访问源、本地服务器、记录日志服务器、Pattern:common IP IPIP访问方式、发送字节数、本地接收端口、访问地址等相关信息在日志文件URL中值为时,会将这个服务器地址通过转换为主机resolveHosts:true tomcatIP DNS名,假如是就干脆写服务器地址false,IP基线符合性判、判定条件1定依据查看logs书目中相关日志文件内容,记录完整、检测操作2查看中相关日志记录localhost_access_log.2008-10-
22.log、补充说明3备注。