基线检查

1、身份鉴别

1、共享账户，删除无关账户

项目

详情

说明

应按照用户分配帐号。避免不同用户间共享帐号，发生越权。应删除或锁定与设备运行、维护等工作无关的帐号。

检测步骤

1、参考配置操作编辑/conf/tomcat-users.xml 配置文件，修改或删除帐号。

符合性依据

1、各帐号均可以正常登录 Tomcat Web 服务器。 2、被删除的无关的帐号无法正常登陆。

2、用户权限管理

项目

详情

说明

根据用户的业务需要，对个账户配置其所需的最小权限。

检测步骤

1、参考配置操作编辑/conf/tomcat-users.xml 配置文件，修改用户角色权限对 tomcat 账号授权远程管理权限：

符合性依据

使用 tomcat 帐号登陆远程管理页面，且登陆成功。

影响性分析

加固操作对业务系统的影响需要在测试环境中进行测试。

备注

Tomcat 用户角色分为：role1，tomcat，admin，manager 四种。 role1：具有读权限； tomcat：具有读和运行权限； admin：具有读、运行和写权限； manager：具有远程管理权限。 Tomcat 6.0.18 版本只有 admin 和 manager 两种用户角色，且 admin 用户具有 manager 管理权限。

3、口令复杂度

项目

详情

说明

对于采用静态口令认证技术的设备，口令长度至少为 8 位，并包含数字、小写字母、大写字母和特殊符号四类中至少三类。且 5 次以内不得设置相同的口令。

检测步骤

1、参考配置操作编辑/conf/tomcat-users.xml 配置文件，对口令复杂度进行检查。

符合性依据

人工检查配置文件中帐号口令是否符合口令复杂度要求。

4、程序运行身份检查

项目

详情

说明

确认是否以 tomcat 身份运行、启动 tomcat 服务

检测步骤

1、参考配置操作 LINUX: ps -aux | grep tomcat Windows: 通过“任务管理器”查看当前运行 tomcat 的用户身份。

符合性依据

若是管理员身份运行则不符合安全基线

影响性分析

加固操作对业务系统的影响需要在测试环境中进行测试。

2、日志配置

1、审核登录

项目

详情

说明

设备应配置日志功能，对用户登录进行记录。记录内容包括用户登录帐号，登录是否成功，登录时间，以及远程登录时用户使用的 IP 地址

检测步骤

1、参考配置操作编辑/conf/server.xml 配置文件，确认以下内容启用未被注释掉：

符合性依据

1、查看 logs 目录中相关日志文件内容，记录完整。 2、查看相关日志记录文件，检查有无记录事件。

备注

Directory:日志文件放置的目录，在 tomcat 下面有个 logs 文件夹，那里面是专门放置日志文件的，也可以修改为其他路径。 Prefix:这个是日志文件的名称前缀，日志名称为 localhost_access_log.200810-22.txt，前面的前缀就是这个 localhost_access_log。 Suffix:文件后缀名。 Pattern:common 方式时，将记录访问源 IP、本地服务器 IP、记录日志服务器 IP、访问方式、发送字节数、本地接收端口、访问 URL 地址等相关信息在日志文件中。 resolveHosts:值为 true 时，tomcat 会将这个服务器 IP 地址通过 DNS 转换为主机名，如果是 false，就直接写服务器 IP 地址

3、通信协议

1、通信加密

项目

详情

说明

对于通过 HTTP 协议进行远程维护的设备，设备应支持使用 HTTPS 等加密协议。

检测步骤

1、参考配置操作 1、使用 JDK 自带的 keytool 工具生成一个证书 %JAVA_HOME%\bin\keytool -genkey -alias cat -keyalg RSA -keystore 1024 validity 365 -keystore /home/keystore/certificate.keystore -genkeypair 表示生成密钥 -keyalg 指定密钥算法,这里指定为 RSA 算法。 -keysize 指定密钥长度,默认 1024 位,这里指定为 2048 位。 -sigalg 指定数字签名算法,这里指定为 SHA1withRSA 算法。 -validity 指定证书有效期,这里指定为 36000 天。

-alias 指定别名 -keystore 指定密钥库存储位置，这里是/home/keystore/app.keystore 2、编辑 /conf/server.xml 配置文件，更改为使用 https 方式，确认以下 SSL 配置内容未被注释标记。 CConnector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/home/keystore/certificate.keystore" keystorePass="1QAZ2WSX" clientAuth="false" sslProtocol="TLS 其中 keystorePass 的值为生成 keystore 时输入的口令 3、重新启动 tomcat 服务符

符合性依据

使用 https 方式登陆 tomcat 服务器页面，并能成功登陆

影响性分析

加固操作对业务系统的影响需要在测试环境中进行测试。

备注

根据应用场景的不同，选择是否开启。 1、对于跨网络远程管理维护方式，需要进行此项配置。 2、对于本地维护，则无需配置。

4、安全管理

1、错误页面处理

项目

详情

说明

Tomcat 错误页面重定向

检测步骤

1、参考配置操作编辑/conf/web.xml 配置文件。在最后</web-app>一行之前加入以下内容： <error-page> <error-code>404</error-code> <location>/404.html </location> </error-page>

符合性依据

1、在 URL 地址栏中输入 http://ip/xxxxxxx~~~（一个不存在的页面）检测是否指向指定错误页面。 2、查看 web.xml 配置文件内容

备注

实现将 404 未找到的 jsp 网页导向至 404.html 页面（webapps/ROOT/目录下），也可以用类似方法添加其多的错误代码导向页面，如 403,500 等。

2、删除默认文件

项目

详情

说明

删除缺省安装的自带 web 文件

检测步骤

1、参考配置操作删除以下例子程序和无用文件： tomcat/webapps/examples tomcat/webapps/docs tomcat/webapps/ROOT 如和开发人员确认 host-manager、manager 文件不使用，可以在修改部分文件后删除以下文件（可选）： tomcat/webapps/host-manager tomcat/webapps/manager 根据 Tomcat 安装步骤不同和版本不同，某些目录或文件可能不存在或位置不同

符合性依据

检查对应目录。

影响性分析

加固操作对业务系统的影响需要在测试环境中进行测试。

3、登录超时

项目

详情

说明

对于具备字符交互界面的设备，应支持非活动账户定时自动登出。登出后用户需再次登录才能进入系统

检测步骤

1、参考配置操作编辑/conf/server.xml 配置文件，修改 connectionTimeout 参数为 60 秒

符合性依据

非活动账户 30 秒后会自动登出。

影响性分析

加固操作对业务系统的影响需要在测试环境中进行测试。

备注

connectionTimeout 参数需要考虑到网络稳定性的同时也需要考虑业务性能。对于面向互联网的应用，此值应测试后设置，暂推荐为 20000

4、虚拟目录访问控制

项目

详情

说明

禁止 tomcat 虚拟目录显示文件,增加系统安全性。

检测步骤

1、参考配置操作编辑/conf/web.xml 配置文件，把 listings 参数修改成 false。 <init-param> <param-name>listings</param-name> <param-value> false</param-value> </init-param> 重新启动 tomcat 服务

符合性依据

直接访问 http://ip:8080/XXX。其中 XXX 为\webapps\下存在的应用文档，确认无公开资源即符合安全基线

5、补丁管理

1、补丁管理

项目

详情

检测步骤

补丁或者版本升级应联系业务系统开发商咨询和测试，确认测试无问题后，进行更新

影响性分析

补丁更新加固操作对业务有不可预知的影响，一定需要在测试环境中进行测试

最后更新于4年前

这有帮助吗？

基线检查

1、身份鉴别

1、共享账户，删除无关账户

项目

详情

说明

应按照用户分配帐号。避免不同用户间共享帐号，发生越权。应删除或锁定与设备运行、维护等工作无关的帐号。

检测步骤

1、参考配置操作编辑/conf/tomcat-users.xml 配置文件，修改或删除帐号。

符合性依据

1、各帐号均可以正常登录 Tomcat Web 服务器。 2、被删除的无关的帐号无法正常登陆。

2、用户权限管理

项目

详情

说明

根据用户的业务需要，对个账户配置其所需的最小权限。

检测步骤

1、参考配置操作编辑/conf/tomcat-users.xml 配置文件，修改用户角色权限对 tomcat 账号授权远程管理权限：

符合性依据

使用 tomcat 帐号登陆远程管理页面，且登陆成功。

影响性分析

加固操作对业务系统的影响需要在测试环境中进行测试。

备注

3、口令复杂度

项目

详情

说明

检测步骤

1、参考配置操作编辑/conf/tomcat-users.xml 配置文件，对口令复杂度进行检查。

符合性依据

人工检查配置文件中帐号口令是否符合口令复杂度要求。

4、程序运行身份检查

项目

详情

说明

确认是否以 tomcat 身份运行、启动 tomcat 服务

检测步骤

1、参考配置操作 LINUX: ps -aux | grep tomcat Windows: 通过“任务管理器”查看当前运行 tomcat 的用户身份。

符合性依据

若是管理员身份运行则不符合安全基线

影响性分析

加固操作对业务系统的影响需要在测试环境中进行测试。

2、日志配置

1、审核登录

项目

详情

说明

设备应配置日志功能，对用户登录进行记录。记录内容包括用户登录帐号，登录是否成功，登录时间，以及远程登录时用户使用的 IP 地址

检测步骤

1、参考配置操作编辑/conf/server.xml 配置文件，确认以下内容启用未被注释掉：

符合性依据

1、查看 logs 目录中相关日志文件内容，记录完整。 2、查看相关日志记录文件，检查有无记录事件。

备注

3、通信协议

1、通信加密

项目

详情

说明

对于通过 HTTP 协议进行远程维护的设备，设备应支持使用 HTTPS 等加密协议。

检测步骤

符合性依据

使用 https 方式登陆 tomcat 服务器页面，并能成功登陆

影响性分析

加固操作对业务系统的影响需要在测试环境中进行测试。

备注

根据应用场景的不同，选择是否开启。 1、对于跨网络远程管理维护方式，需要进行此项配置。 2、对于本地维护，则无需配置。

4、安全管理

1、错误页面处理

项目

详情

说明

Tomcat 错误页面重定向

检测步骤

1、参考配置操作编辑/conf/web.xml 配置文件。在最后</web-app>一行之前加入以下内容： <error-page> <error-code>404</error-code> <location>/404.html </location> </error-page>

符合性依据

1、在 URL 地址栏中输入 http://ip/xxxxxxx~~~（一个不存在的页面）检测是否指向指定错误页面。 2、查看 web.xml 配置文件内容

备注

实现将 404 未找到的 jsp 网页导向至 404.html 页面（webapps/ROOT/目录下），也可以用类似方法添加其多的错误代码导向页面，如 403,500 等。

2、删除默认文件

项目

详情

说明

删除缺省安装的自带 web 文件

检测步骤

符合性依据

检查对应目录。

影响性分析

加固操作对业务系统的影响需要在测试环境中进行测试。

3、登录超时

项目

详情

说明

对于具备字符交互界面的设备，应支持非活动账户定时自动登出。登出后用户需再次登录才能进入系统

检测步骤

1、参考配置操作编辑/conf/server.xml 配置文件，修改 connectionTimeout 参数为 60 秒

符合性依据

非活动账户 30 秒后会自动登出。

影响性分析

加固操作对业务系统的影响需要在测试环境中进行测试。

备注

connectionTimeout 参数需要考虑到网络稳定性的同时也需要考虑业务性能。对于面向互联网的应用，此值应测试后设置，暂推荐为 20000

4、虚拟目录访问控制

项目

详情

说明

禁止 tomcat 虚拟目录显示文件,增加系统安全性。

检测步骤

符合性依据

直接访问 http://ip:8080/XXX。其中 XXX 为\webapps\下存在的应用文档，确认无公开资源即符合安全基线

5、补丁管理

1、补丁管理

项目

详情

检测步骤

补丁或者版本升级应联系业务系统开发商咨询和测试，确认测试无问题后，进行更新

影响性分析

补丁更新加固操作对业务有不可预知的影响，一定需要在测试环境中进行测试

最后更新于4年前

这有帮助吗？