基线检查
最后更新于
项目
详情
说明
应按照用户分配帐号。避免不同用户间共享帐号,发生越权。 应删除或锁定与设备运行、维护等工作无关的帐号。
检测步骤
1、参考配置操作 编辑/conf/tomcat-users.xml 配置文件,修改或删除帐号。
<user username=”tomcat” password=” Tomcat!234” roles=”admin">
符合性依据
1、各帐号均可以正常登录 Tomcat Web 服务器。 2、被删除的无关的帐号无法正常登陆。
项目
详情
说明
根据用户的业务需要,对个账户配置其所需的最小权限。
检测步骤
1、参考配置操作 编辑/conf/tomcat-users.xml 配置文件,修改用户角色权限 对 tomcat 账号授权远程管理权限:
<user username=”tomcat” password=” Tomcat!23”roles=”admin,manager">
符合性依据
使用 tomcat 帐号登陆远程管理页面,且登陆成功。
影响性分析
加固操作对业务系统的影响需要在测试环境中进行测试。
备注
Tomcat 用户角色分为:role1,tomcat,admin,manager 四种。 role1:具有读权限; tomcat:具有读和运行权限; admin:具有读、运行和写权限; manager:具有远程管理权限。 Tomcat 6.0.18 版本只有 admin 和 manager 两种用户角色,且 admin 用户具 有 manager 管理权限。
项目
详情
说明
对于采用静态口令认证技术的设备,口令长度至少为 8 位,并包含数字、小 写字母、大写字母和特殊符号四类中至少三类。且 5 次以内不得设置相同的 口令。
检测步骤
1、参考配置操作 编辑/conf/tomcat-users.xml 配置文件,对口令复杂度进行检查。
<user username=”tomcat” password=” Tomcat!234” roles=”admin">
符合性依据
人工检查配置文件中帐号口令是否符合口令复杂度要求。
项目
详情
说明
确认是否以 tomcat 身份运行、启动 tomcat 服务
检测步骤
1、参考配置操作 LINUX: ps -aux | grep tomcat Windows: 通过“任务管理器”查看当前运行 tomcat 的用户身份。
符合性依据
若是管理员身份运行则不符合安全基线
影响性分析
加固操作对业务系统的影响需要在测试环境中进行测试。
项目
详情
说明
设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录帐号, 登录是否成功,登录时间,以及远程登录时用户使用的 IP 地址
检测步骤
1、参考配置操作 编辑/conf/server.xml 配置文件,确认以下内容启用未被注释掉:
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="%h %a %l %u %t "%r" %s %b"/>
符合性依据
1、查看 logs 目录中相关日志文件内容,记录完整。 2、查看相关日志记录文件,检查有无记录事件。
备注
Directory:日志文件放置的目录,在 tomcat 下面有个 logs 文件夹,那里面是 专门放置日志文件的,也可以修改为其他路径。 Prefix:这个是日志文件的名称前缀,日志名称为 localhost_access_log.200810-22.txt,前面的前缀就是这个 localhost_access_log。 Suffix:文件后缀名。 Pattern:common 方式时,将记录访问源 IP、本地服务器 IP、记录日志服务器 IP、访问方式、发送字节数、本地接收端口、访问 URL 地址等相关信息在日 志文件中。 resolveHosts:值为 true 时,tomcat 会将这个服务器 IP 地址通过 DNS 转换为 主机名,如果是 false,就直接写服务器 IP 地址
项目
详情
说明
对于通过 HTTP 协议进行远程维护的设备,设备应支持使用 HTTPS 等加密协 议。
检测步骤
1、参考配置操作 1、使用 JDK 自带的 keytool 工具生成一个证书 %JAVA_HOME%\bin\keytool -genkey -alias cat -keyalg RSA -keystore 1024 validity 365 -keystore /home/keystore/certificate.keystore -genkeypair 表示生成密钥 -keyalg 指定密钥算法,这里指定为 RSA 算法。 -keysize 指定密钥长度,默认 1024 位,这里指定为 2048 位。 -sigalg 指定数字签名算法,这里指定为 SHA1withRSA 算法。 -validity 指定证书有效期,这里指定为 36000 天。
-alias 指定别名 -keystore 指定密钥库存储位置,这里是/home/keystore/app.keystore 2、编辑 /conf/server.xml 配置文件,更改为使用 https 方式,确认以下 SSL 配置内容未被注释标记。 CConnector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/home/keystore/certificate.keystore" keystorePass="1QAZ2WSX" clientAuth="false" sslProtocol="TLS 其中 keystorePass 的值为生成 keystore 时输入的口令 3、重新启动 tomcat 服务 符
符合性依据
使用 https 方式登陆 tomcat 服务器页面,并能成功登陆
影响性分析
加固操作对业务系统的影响需要在测试环境中进行测试。
备注
根据应用场景的不同,选择是否开启。 1、对于跨网络远程管理维护方式,需要进行此项配置。 2、对于本地维护,则无需配置。
项目
详情
说明
Tomcat 错误页面重定向
检测步骤
1、参考配置操作 编辑/conf/web.xml 配置文件。 在最后</web-app>一行之前加入以下内容: <error-page> <error-code>404</error-code> <location>/404.html </location> </error-page>
符合性依据
1、在 URL 地址栏中输入 http://ip/xxxxxxx~~~(一个不存在的页面) 检测是否指向指定错误页面。 2、查看 web.xml 配置文件内容
备注
实现将 404 未找到的 jsp 网页导向至 404.html 页面(webapps/ROOT/目录 下),也可以用类似方法添加其多的错误代码导向页面,如 403,500 等。
项目
详情
说明
删除缺省安装的自带 web 文件
检测步骤
1、参考配置操作 删除以下例子程序和无用文件: tomcat/webapps/examples tomcat/webapps/docs tomcat/webapps/ROOT 如和开发人员确认 host-manager、manager 文件不使用,可以在修改部分 文件后删除以下文件(可选): tomcat/webapps/host-manager tomcat/webapps/manager 根据 Tomcat 安装步骤不同和版本不同,某些目录或文件可能不存在或位置 不同
符合性依据
检查对应目录。
影响性分析
加固操作对业务系统的影响需要在测试环境中进行测试。
项目
详情
说明
对于具备字符交互界面的设备,应支持非活动账户定时自动登出。登出后 用户需再次登录才能进入系统
检测步骤
1、参考配置操作 编辑/conf/server.xml 配置文件,修改 connectionTimeout 参数为 60 秒
<Connector port="8080" maxHttpHeaderSize="8192"maxThreads="150" minSpareThreads="25" maxSpareThreads="75"、 enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="60000" disableUploadTimeout="true"/> 或是 <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="60000" redirectPort="8443"/>
符合性依据
非活动账户 30 秒后会自动登出。
影响性分析
加固操作对业务系统的影响需要在测试环境中进行测试。
备注
connectionTimeout 参数需要考虑到网络稳定性的同时也需要考虑业务性 能。对于面向互联网的应用,此值应测试后设置,暂推荐为 20000
项目
详情
说明
禁止 tomcat 虚拟目录显示文件,增加系统安全性。
检测步骤
1、参考配置操作 编辑/conf/web.xml 配置文件,把 listings 参数修改成 false。 <init-param> <param-name>listings</param-name> <param-value> false</param-value> </init-param> 重新启动 tomcat 服务
符合性依据
直接访问 http://ip:8080/XXX。其中 XXX 为\webapps\下存在的应用文档,确 认无公开资源即符合安全基线
项目
详情
检测步骤
补丁或者版本升级应联系业务系统开发商咨询和测试,确认测试无问题后, 进行更新
影响性分析
补丁更新加固操作对业务有不可预知的影响,一定需要在测试环境中进行测 试