安全基线项目名称
Tomcat 共享帐号管理安全基线要求项
安全基线编号
tomcat-001
安全基线项说明
应按照用户分配帐号,避免不同用户间共享帐号。
设置 *** 作步骤
修改 tomcat/conf/tomcat-users.xml 配置文件,修改或添加 帐号。如:
roles=”admin”>
基线符合性判定依据
查看用户帐号登录情况
备注
安全基线项目名称
Tomcat 无关帐号管理安全基线要求项
安全基线编号
tomcat-002
安全基线项说明
应删除或锁定与系统运行、维护等工作无关的帐号
设置 *** 作步骤
修改 tomcat/conf/tomcat-users.xml 配置文件,删除与工作无关的帐号。
例如 tomcat1 与运行、维护等工作无关,删除帐号:
基线符合性判定依据
访问 http://ip:8080/manager/html 管理页面,使用删除帐号进行登录尝试。
备注
安全基线项目名称
Tomcat 口令管理安全基线要求项
安全基线编号
tomcat-003
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号四类中至少三类。且 5 次以内不得设置相同的口令。
设置 *** 作步骤
在 tomcat/conf/tomcat-user.xml 配置文件中设置密码为复杂密码,
在tomcat/conf/server.xml配置文件中为shutdown设置复杂密码
基线符合性判定依据
检查 tomcat-user.xml 配置文件中的帐号口令设置,用弱口令扫描工具检测。
备注
安全基线项目名称
Tomcat 日志配置-审核记录策略安全基线要求项
安全基线编号
tomcat-004
安全基线项说明
应配置日志功能,对运行错误、用户访问等进行记录,记录内容包括时间,用户使用的 IP 地址等内容
设置 *** 作步骤
编辑 server.xml 配置文件,在
prefix="localhost_access_log" suffix=".txt" pattern="%h %l %u %t "%r" %s %b" />
基线符合性判定依据
查看 logs 目录中相关日志文件内容,应记录完整。
备注
安全基线项目名称
Tomcat 定时登出安全基线要求项
安全基线编号
tomcat-005
安全基线项说明
应设置用户定时自动登出,登出后需再次登录才能进入系统。
设置 *** 作步骤
编辑 tomcat/conf/server.xml 配置文件,连接超时修改为 300 秒
connectionTimeout="300" redirectPort="8443" />
基线符合性判定依据
用户登录后到时间是否自动登出。
备注
安全基线项目名称
Tomcat 目录列表安全基线要求项
安全基线编号
tomcat-006
安全基线项说明
禁止 Tomcat 列表显示文件
设置 *** 作步骤
(1)编辑 tomcat/conf/web.xml 配置文件,
把 true 改成 false
(2)重新启动 Tomcat 服务。
基线符合性判定依据
当 WEB 目录中没有默认首页如index.html,index.jsp 等文件 时,不会列出目录内容
备注
安全基线项目名称
Tomcat 禁用危险 HTTP 安全基线要求项
安全基线编号
tomcat-007
安全基线项说明
禁用 PUT、DELETE 等危险的 HTTP 方法
设置 *** 作步骤
(1)修改文件$TOMCAT_HOME/conf/web.xml,配置
org.apache.catalina.servlets.DefaultServlet 的值,内容如 下:
readonly 参数默认是 true,即允许 delete 和 put *** 作,修改 为 false。
(2)重新启动 Tomcat 服务。
基线符合性判定依据
检查配置文件 web.xml 是否设置正确。
备注
安全基线项目名称
Tomcat禁止显示异常调试信息安全基线要求项
安全基线编号
tomcat-008
安全基线项说明
当请求处理期间发生运行时错误时,ApacheTomcat将向请求者显示调试信息,存在安全隐患
设置 *** 作步骤
(1)修改文件$TOMCAT_HOME/conf/web.xml在web-app下添加子节点,配置
在webapps目录下创建error.jsp,定义自定义错误信息
(2)重新启动 Tomcat 服务。
基线符合性判定依据
检查配置文件 web.xml 是否设置正确。
备注
安全基线项目名称
Tomcat禁止自动部署安全基线要求项
安全基线编号
tomcat-009
安全基线项说明
配置自动部署,容易被部署恶意或未经测试的应用程序,应将其禁用
设置 *** 作步骤
修改Tomcat 根目录下的配置文件conf/server.xml,将host节点的autoDeploy属性设置为“false”,
unpackWARs="true" autoDeploy="false"> 如果host的deployOnStartup属性(如没有deployOnStartup配置可以忽略)为“true”,则也将其更改为“false”
基线符合性判定依据
检查配置文件 web.xml 是否设置正确。
备注
安全基线项目名称
Tomcat目录权限检测安全基线要求项
安全基线编号
tomcat-010
安全基线项说明
在运行Tomcat服务时,避免使用root用户运行,tomcat目录所有者应改为非root的运行用户
设置 *** 作步骤
使用chown -R
基线符合性判定依据
ls -l 查看tomcat目录所有者为非root用户,如ls -l /usr/local/tomcat
备注
安全基线项目名称
Tomcat运行进程权限检测安全基线要求项
安全基线编号
tomcat-011
安全基线项说明
在运行Internet服务时,最好尽可能避免使用root用户运行,降低攻击者拿到服务器控制权限的机会
设置 *** 作步骤
新增tomcat用户
useradd tomcat
--将tomcat目录owner改为tomcat
chown -R tomcat:tomcat /opt/tomcat
-- 停止原来的tomcat服务
--切换到tomcat用户
su - tomcat
--重新启动tomcat
/opt/tomcat/bin/startup.sh
基线符合性判定依据
ps -ef | grep tomcat查看运行tomcat的用户
备注
安全基线项目名称
Tomcat错误页面安全基线要求项
安全基线编号
tomcat-012
安全基线项说明
Tomcat 访问错误页面重定向,防止泄露敏感信息
设置 *** 作步骤
(1)查看 tomcat/conf/web.xml 文件,新增或修改如下配置:
......
ion-type> (2)重新启动 Tomcat 服务
基线符合性判定依据
在地址栏输入一个不存在的页面,验证是否已指向错误页面
备注
安全基线项目名称
Tomcat删除无关文件和目录安全基线要求项
安全基线编号
tomcat-013
安全基线项说明
Tomcat安装提供了示例应用程序、文档和其他可能不用于生产程序及目录,存在极大安全风险
设置 *** 作步骤
删除Tomcat示例程序和目录、管理控制台等,即从Tomcat根目录的webapps目录,移出或删除docs、examples、host-manager、manager目录
基线符合性判定依据
确认已删除或移除
备注
安全基线项目名称
Tomcat连接数设置安全基线要求项
安全基线编号
tomcat-014
安全基线项说明
设置连接数,防止恶意攻击
设置 *** 作步骤
编辑/tomcat/conf/server.xml文件,样例如下:
编辑server.xml文件,样例如下:
基线符合性判定依据
检查配置文件 server.xml 是否设置正确。
备注
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)