Tomcat系统安全配置基线CompanyDocumentnumber:WTUT-WT88Y-W8BBGB-BWYTT-19998Tomcat系统安全配置基线\=\第1章概述1.1目的本文规定了Tomcat系统应当遵循的操作安全性设置标准,本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。1.2适用范围本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员本配置标准适用的范围包括:Tomcat系统。1.3适用版本适用于Tomcat。第2章账号管理、认证授权2.1账号2・1・1用户帐号设置安全基线项目名称为不同的管理员分配不同的号安全基线项说明应按照用户分配账号,避免不同用户间共享账号提高安全性。检测操作步骤1、参考配置操作修改tomcat/conf/配置文件,修改或添加帐号。2、补充操作说明1、根据不同用户,取不同的名称。基线符合询问管理员是否安装需求分配用户号性判定依据备注2・1・2删除或锁定无效账号安全基线项目名称删除或锁定无效账号安全基线项说明删除或锁疋无效的账号,减少系统女全隐患。检测操作步骤参考配置操作修改tomcat/conf/配置文件,删除与工作无关的帐号。例如tomcat1与运行、维护等工作无关,删除帐号:基线符合性判定依据查看配置文件备注22认证2.2.1密码复杂度安全基线项目名称密码复杂度安全基线项说明对于采用静态口令认证技术的设备,口令长度至少12位,包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤1、参考配置操作在tomcat/conf/配置文件中设置密码2、补充操作说明口令要求:长度至少12位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。基线符合性判定依据检查配置文件查看tomcat/conf/文件策略设置备注2・2・2权限最小化安全基线项目名称权限最小化安全基线项说明在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。检测操作步骤1、参考配置操作编辑tomcat/conf/配置文件,修改用户角色权限授权tomcat具有远程管理权限:2、补充操作说明1、Tomcat和版本用户角色分为:rolel,tomcat,admin,manager四种。rolel:具有读权限;tomcat:具有读和运行权限;admin:具有读、运行和写权限;manager:具有远程管理权限。基线符合性判定依据查看配置文件策略配置业务测试正常备注第3章日志审计3.1日志审核安全基线项目名称启用日志记录功能安全基线项说明应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。检测操作步骤1、参考配置操作编辑配置文件,在vHOST>标签中增加记录日志功能将以下内容的注释标记取消Directory=”logs”prefix=”localhost_access_log.”Suffix=”.txt”Pattern=”common”resloveHosts=”false'7>2、补充操作说明classname:ThisMUSTbesettoDirectory:日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专门放置日志文件的,也可以修改为其他路径;Prefix:这个是日志文件的名称刖缀,日志名称为,刖面的刖缀就是这个基线符合性判定依据判定条件登录测试,检杳相关信息是否被记录查看文件备注第4章其他配置操作4.1.1登陆超时退出安全基线项目名称登录超时安全基线项说明对于具备字符交互界面的设备,应支持定时账户自动登出。登出后用户需再次登录才能进入系统。检测操作步骤参考配置操作编辑tomcat/conf/配己置文件,修改为30秒vConnectorport="8080"maxHttpHeaderSize="8192"maxThreads="150"minSpareThreads="25"maxSpareThreads="75"enableLookups="false"redirectPort="8443"acceptCount="100"connectionTimeout="300"disableUploadTimeout="true"/>基线符合性判定依据1、判定条件查看tomcat/conf/2、检测操作备注4・1・2自定义错误信息安全基线项目名称自定义错误信息安全基线项说明自定义Tomcat返回的错误信息检测操...
