基线检查

1、身份鉴别

1、共享账户，删除无关账户

项目	详情
说明	应按照用户分配帐号。避免不同用户间共享帐号，发生越权。 应删除或锁定与设备运行、维护等工作无关的帐号。
检测步骤	1、参考配置操作 编辑/conf/tomcat-users.xml 配置文件，修改或删除帐号。 <user username=”tomcat” password=” Tomcat!234” roles=”admin">
符合性依据	1、各帐号均可以正常登录 Tomcat Web 服务器。 2、被删除的无关的帐号无法正常登陆。

2、用户权限管理

项目	详情
说明	根据用户的业务需要，对个账户配置其所需的最小权限。
检测步骤	1、参考配置操作 编辑/conf/tomcat-users.xml 配置文件，修改用户角色权限 对 tomcat 账号授权远程管理权限： <user username=”tomcat” password=” Tomcat!23”roles=”admin,manager">
符合性依据	使用 tomcat 帐号登陆远程管理页面，且登陆成功。
影响性分析	加固操作对业务系统的影响需要在测试环境中进行测试。
备注	Tomcat 用户角色分为：role1，tomcat，admin，manager 四种。 role1：具有读权限； tomcat：具有读和运行权限； admin：具有读、运行和写权限； manager：具有远程管理权限。 Tomcat 6.0.18 版本只有 admin 和 manager 两种用户角色，且 admin 用户具 有 manager 管理权限。

3、口令复杂度

项目	详情
说明	对于采用静态口令认证技术的设备，口令长度至少为 8 位，并包含数字、小 写字母、大写字母和特殊符号四类中至少三类。且 5 次以内不得设置相同的 口令。
检测步骤	1、参考配置操作 编辑/conf/tomcat-users.xml 配置文件，对口令复杂度进行检查。 <user username=”tomcat” password=” Tomcat!234” roles=”admin">
符合性依据	人工检查配置文件中帐号口令是否符合口令复杂度要求。

4、程序运行身份检查

项目	详情
说明	确认是否以 tomcat 身份运行、启动 tomcat 服务
检测步骤	1、参考配置操作 LINUX: ps -aux | grep tomcat Windows: 通过“任务管理器”查看当前运行 tomcat 的用户身份。
符合性依据	若是管理员身份运行则不符合安全基线
影响性分析	加固操作对业务系统的影响需要在测试环境中进行测试。

2、日志配置

1、审核登录

项目	详情
说明	设备应配置日志功能，对用户登录进行记录。记录内容包括用户登录帐号， 登录是否成功，登录时间，以及远程登录时用户使用的 IP 地址
检测步骤	1、参考配置操作 编辑/conf/server.xml 配置文件，确认以下内容启用未被注释掉： <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="%h %a %l %u %t "%r" %s %b"/>
符合性依据	1、查看 logs 目录中相关日志文件内容，记录完整。 2、查看相关日志记录文件，检查有无记录事件。
备注	Directory:日志文件放置的目录，在 tomcat 下面有个 logs 文件夹，那里面是 专门放置日志文件的，也可以修改为其他路径。 Prefix:这个是日志文件的名称前缀，日志名称为 localhost_access_log.200810-22.txt，前面的前缀就是这个 localhost_access_log。 Suffix:文件后缀名。 Pattern:common 方式时，将记录访问源 IP、本地服务器 IP、记录日志服务器 IP、访问方式、发送字节数、本地接收端口、访问 URL 地址等相关信息在日 志文件中。 resolveHosts:值为 true 时，tomcat 会将这个服务器 IP 地址通过 DNS 转换为 主机名，如果是 false，就直接写服务器 IP 地址

3、通信协议

1、通信加密

项目	详情
说明	对于通过 HTTP 协议进行远程维护的设备，设备应支持使用 HTTPS 等加密协 议。
检测步骤	1、参考配置操作 1、使用 JDK 自带的 keytool 工具生成一个证书 %JAVA_HOME%\bin\keytool -genkey -alias cat -keyalg RSA -keystore 1024 validity 365 -keystore /home/keystore/certificate.keystore -genkeypair 表示生成密钥 -keyalg 指定密钥算法,这里指定为 RSA 算法。 -keysize 指定密钥长度,默认 1024 位,这里指定为 2048 位。 -sigalg 指定数字签名算法,这里指定为 SHA1withRSA 算法。 -validity 指定证书有效期,这里指定为 36000 天。 -alias 指定别名 -keystore 指定密钥库存储位置，这里是/home/keystore/app.keystore 2、编辑 /conf/server.xml 配置文件，更改为使用 https 方式，确认以下 SSL 配置内容未被注释标记。 CConnector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/home/keystore/certificate.keystore" keystorePass="1QAZ2WSX" clientAuth="false" sslProtocol="TLS 其中 keystorePass 的值为生成 keystore 时输入的口令 3、重新启动 tomcat 服务 符
符合性依据	使用 https 方式登陆 tomcat 服务器页面，并能成功登陆
影响性分析	加固操作对业务系统的影响需要在测试环境中进行测试。
备注	根据应用场景的不同，选择是否开启。 1、对于跨网络远程管理维护方式，需要进行此项配置。 2、对于本地维护，则无需配置。

4、安全管理

1、错误页面处理

项目	详情
说明	Tomcat 错误页面重定向
检测步骤	1、参考配置操作 编辑/conf/web.xml 配置文件。 在最后</web-app>一行之前加入以下内容： <error-page> <error-code>404</error-code> <location>/404.html </location> </error-page>
符合性依据	1、在 URL 地址栏中输入 http://ip/xxxxxxx~~~（一个不存在的页面） 检测是否指向指定错误页面。 2、查看 web.xml 配置文件内容
备注	实现将 404 未找到的 jsp 网页导向至 404.html 页面（webapps/ROOT/目录 下），也可以用类似方法添加其多的错误代码导向页面，如 403,500 等。

2、删除默认文件

项目	详情
说明	删除缺省安装的自带 web 文件
检测步骤	1、参考配置操作 删除以下例子程序和无用文件： tomcat/webapps/examples tomcat/webapps/docs tomcat/webapps/ROOT 如和开发人员确认 host-manager、manager 文件不使用，可以在修改部分 文件后删除以下文件（可选）： tomcat/webapps/host-manager tomcat/webapps/manager 根据 Tomcat 安装步骤不同和版本不同，某些目录或文件可能不存在或位置 不同
符合性依据	检查对应目录。
影响性分析	加固操作对业务系统的影响需要在测试环境中进行测试。

3、登录超时

项目	详情
说明	对于具备字符交互界面的设备，应支持非活动账户定时自动登出。登出后 用户需再次登录才能进入系统
检测步骤	1、参考配置操作 编辑/conf/server.xml 配置文件，修改 connectionTimeout 参数为 60 秒 <Connector port="8080" maxHttpHeaderSize="8192"maxThreads="150" minSpareThreads="25" maxSpareThreads="75"、 enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="60000" disableUploadTimeout="true"/> 或是 <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="60000" redirectPort="8443"/>
符合性依据	非活动账户 30 秒后会自动登出。
影响性分析	加固操作对业务系统的影响需要在测试环境中进行测试。
备注	connectionTimeout 参数需要考虑到网络稳定性的同时也需要考虑业务性 能。对于面向互联网的应用，此值应测试后设置，暂推荐为 20000

4、虚拟目录访问控制

项目	详情
说明	禁止 tomcat 虚拟目录显示文件,增加系统安全性。
检测步骤	1、参考配置操作 编辑/conf/web.xml 配置文件，把 listings 参数修改成 false。 <init-param> <param-name>listings</param-name> <param-value> false</param-value> </init-param> 重新启动 tomcat 服务
符合性依据	直接访问 http://ip:8080/XXX。其中 XXX 为\webapps\下存在的应用文档，确 认无公开资源即符合安全基线

5、补丁管理

1、补丁管理

项目	详情
检测步骤	补丁或者版本升级应联系业务系统开发商咨询和测试，确认测试无问题后， 进行更新
影响性分析	补丁更新加固操作对业务有不可预知的影响，一定需要在测试环境中进行测 试