- 1linux 使用FIO测试磁盘iops_fio does not have enough space. current left space
- 2【C/C++】轻量级跨平台 开源串口库 CSerialPort
- 3解決 yum update錯誤:[Errno -1] Metadata file does not match checksum
- 4vue3 + element-plus 修改 el-table 鼠标悬停背景、斑马纹颜色、表头颜色_el-table鼠标悬浮单元格改变背景色
- 5C语言-顺序表
- 6python常用方法_python 方法
- 7使用 LlamaIndex + Eleasticsearch ,进行 RAG 检索增强生成_llamaindex+es
- 8构建Dockerfile时打印RUN命令的输出_docker run ls
- 9Sequoiadb 测试体验系列之四 – Java 开发_sequoiadb java 开发
- 10联想拯救者Y9000-ubuntu-无线网卡无效_联想笔记本y9000无线网不能用
Tomcat中间件安全基线配置与操作指南_tomcat安全基线
赞
踩
1、账号管理
1.1、共享账号管理
| 安全基线项目名称 | Tomcat 共享帐号管理安全基线要求项 |
| 安全基线编号 | tomcat-001 |
| 安全基线项说明 | 应按照用户分配帐号,避免不同用户间共享帐号。 |
| 设置操作步骤 | 修改 tomcat/conf/tomcat-users.xml 配置文件,修改或添加 帐号。如: <user username=”tomcat”password=”tomcat@1234” roles=”admin”> |
| 基线符合性判定依据 | 查看用户帐号登录情况 |
| 备注 |
1.2、无关账号管理
| 安全基线项目名称 | Tomcat 无关帐号管理安全基线要求项 |
| 安全基线编号 | tomcat-002 |
| 安全基线项说明 | 应删除或锁定与系统运行、维护等工作无关的帐号 |
| 设置操作步骤 | 修改 tomcat/conf/tomcat-users.xml 配置文件,删除与工作无关的帐号。 例如 tomcat1 与运行、维护等工作无关,删除帐号: <user username=”tomcat1” password=”tomcat” roles=”admin”> |
| 基线符合性判定依据 | 访问 http://ip:8080/manager/html 管理页面,使用删除帐号进行登录尝试。 |
| 备注 |
2、口令管理
| 安全基线项目名称 | Tomcat 口令管理安全基线要求项 |
| 安全基线编号 | tomcat-003 |
| 安全基线项说明 | 对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号四类中至少三类。且 5 次以内不得设置相同的口令。 |
| 设置操作步骤 | 在 tomcat/conf/tomcat-user.xml 配置文件中设置密码为复杂密码, <user username=”tomcat”password=”Tomcat!234”roles=”admin”> 在tomcat/conf/server.xml配置文件中为shutdown设置复杂密码 <Server port="8005" shutdown="复杂密码"> |
| 基线符合性判定依据 | 检查 tomcat-user.xml 配置文件中的帐号口令设置,用弱口令扫描工具检测。 |
| 备注 |
3、日志配置
| 安全基线项目名称 | Tomcat 日志配置-审核记录策略安全基线要求项 |
| 安全基线编号 | tomcat-004 |
| 安全基线项说明 | 应配置日志功能,对运行错误、用户访问等进行记录,记录内容包括时间,用户使用的 IP 地址等内容 |
| 设置操作步骤 | 编辑 server.xml 配置文件,在<HOST> 标签中增加记录日志功 能 将以下内容的注释标记< ! -- -- > 取消 <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log" suffix=".txt" pattern="%h %l %u %t "%r" %s %b" /> |
| 基线符合性判定依据 | 查看 logs 目录中相关日志文件内容,应记录完整。 |
| 备注 |
4、访问控制
4.1、定时登出
| 安全基线项目名称 | Tomcat 定时登出安全基线要求项 |
| 安全基线编号 | tomcat-005 |
| 安全基线项说明 | 应设置用户定时自动登出,登出后需再次登录才能进入系统。 |
| 设置操作步骤 | 编辑 tomcat/conf/server.xml 配置文件,连接超时修改为 300 秒 <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="300" redirectPort="8443" /> |
| 基线符合性判定依据 | 用户登录后到时间是否自动登出。 |
| 备注 |
4.2、目录列表访问控制
| 安全基线项目名称 | Tomcat 目录列表安全基线要求项 |
| 安全基线编号 | tomcat-006 |
| 安全基线项说明 | 禁止 Tomcat 列表显示文件 |
| 设置操作步骤 | (1)编辑 tomcat/conf/web.xml 配置文件, <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> 把 true 改成 false (2)重新启动 Tomcat 服务。 |
| 基线符合性判定依据 | 当 WEB 目录中没有默认首页如index.html,index.jsp 等文件 时,不会列出目录内容 |
| 备注 |
4.3、禁用危险http方法
| 安全基线项目名称 | Tomcat 禁用危险 HTTP 安全基线要求项 |
| 安全基线编号 | tomcat-007 |
| 安全基线项说明 | 禁用 PUT、DELETE 等危险的 HTTP 方法 |
| 设置操作步骤 | (1)修改文件$TOMCAT_HOME/conf/web.xml,配置 org.apache.catalina.servlets.DefaultServlet 的值,内容如 下: <init-param> <param-name>readonly</param-name> <param-value>false</param-value> </init-param> readonly 参数默认是 true,即允许 delete 和 put 操作,修改 为 false。 (2)重新启动 Tomcat 服务。 |
| 基线符合性判定依据 | 检查配置文件 web.xml 是否设置正确。 |
| 备注 |
4.4、禁止显示异常调试信息
| 安全基线项目名称 | Tomcat禁止显示异常调试信息安全基线要求项 |
| 安全基线编号 | tomcat-008 |
| 安全基线项说明 | 当请求处理期间发生运行时错误时,ApacheTomcat将向请求者显示调试信息,存在安全隐患 |
| 设置操作步骤 | (1)修改文件$TOMCAT_HOME/conf/web.xml在web-app下添加子节点,配置 <error-page> <exception-type>java.lang.Throwable</exception-type> <location>/error.jsp</location> </error-page> 在webapps目录下创建error.jsp,定义自定义错误信息 (2)重新启动 Tomcat 服务。 |
| 基线符合性判定依据 | 检查配置文件 web.xml 是否设置正确。 |
| 备注 |
4.5、禁止自动部署
| 安全基线项目名称 | Tomcat禁止自动部署安全基线要求项 |
| 安全基线编号 | tomcat-009 |
| 安全基线项说明 | 配置自动部署,容易被部署恶意或未经测试的应用程序,应将其禁用 |
| 设置操作步骤 | 修改Tomcat 根目录下的配置文件conf/server.xml,将host节点的autoDeploy属性设置为“false”, <Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="false"> 如果host的deployOnStartup属性(如没有deployOnStartup配置可以忽略)为“true”,则也将其更改为“false” |
| 基线符合性判定依据 | 检查配置文件 web.xml 是否设置正确。 |
| 备注 |
4.6、Tomcat 目录权限检测
| 安全基线项目名称 | Tomcat目录权限检测安全基线要求项 |
| 安全基线编号 | tomcat-010 |
| 安全基线项说明 | 在运行Tomcat服务时,避免使用root用户运行,tomcat目录所有者应改为非root的运行用户 |
| 设置操作步骤 | 使用chown -R <Tomcat启动用户所属组>:<Tomcat启动用户> <Tomcat目录>修改tomcat目录文件所有者,如chown -R tomcat:tomcat /usr/local/tomcat |
| 基线符合性判定依据 | ls -l 查看tomcat目录所有者为非root用户,如ls -l /usr/local/tomcat |
| 备注 |
4.7、Tomcat运行进程权限检测
| 安全基线项目名称 | Tomcat运行进程权限检测安全基线要求项 |
| 安全基线编号 | tomcat-011 |
| 安全基线项说明 | 在运行Internet服务时,最好尽可能避免使用root用户运行,降低攻击者拿到服务器控制权限的机会 |
| 设置操作步骤 | 新增tomcat用户 useradd tomcat --将tomcat目录owner改为tomcat chown -R tomcat:tomcat /opt/tomcat -- 停止原来的tomcat服务 --切换到tomcat用户 su - tomcat --重新启动tomcat /opt/tomcat/bin/startup.sh |
| 基线符合性判定依据 | ps -ef | grep tomcat查看运行tomcat的用户 |
| 备注 |
4.8、错误页面处理
| 安全基线项目名称 | Tomcat错误页面安全基线要求项 |
| 安全基线编号 | tomcat-012 |
| 安全基线项说明 | Tomcat 访问错误页面重定向,防止泄露敏感信息 |
| 设置操作步骤 | (1)查看 tomcat/conf/web.xml 文件,新增或修改如下配置: <error-page> <error-code>404</error-code> <location>/错误页面</location> </error-page> ...... <error-page> <exception-type>java.lang.NullPointerException</except ion-type> <location>/error.jsp</location> </error-page> (2)重新启动 Tomcat 服务 |
| 基线符合性判定依据 | 在地址栏输入一个不存在的页面,验证是否已指向错误页面 |
| 备注 |
5、删除无关文件和目录
| 安全基线项目名称 | Tomcat删除无关文件和目录安全基线要求项 |
| 安全基线编号 | tomcat-013 |
| 安全基线项说明 | Tomcat安装提供了示例应用程序、文档和其他可能不用于生产程序及目录,存在极大安全风险 |
| 设置操作步骤 | 删除Tomcat示例程序和目录、管理控制台等,即从Tomcat根目录的webapps目录,移出或删除docs、examples、host-manager、manager目录 |
| 基线符合性判定依据 | 确认已删除或移除 |
| 备注 |
6、设置连接数
| 安全基线项目名称 | Tomcat连接数设置安全基线要求项 |
| 安全基线编号 | tomcat-014 |
| 安全基线项说明 | 设置连接数,防止恶意攻击 |
| 设置操作步骤 | 编辑/tomcat/conf/server.xml文件,样例如下: <Connector port="8080" minSpareThreads="25" ……/> minSpareThreads="25" //表示即使没有人使用也开这么多空线程等待 根据实际情况设置连接数 编辑server.xml文件,样例如下: <Connector port="8080" maxThreads="150"……/> maxThreads="150" //表示最多同时处理150个连接 根据实际情况配置连接数 |
| 基线符合性判定依据 | 检查配置文件 server.xml 是否设置正确。 |
| 备注 |
