Tomcat Web服务器安全配置基线 中国移动通信有限公司 管理信息系统部 2012年 04月 "版本 "版本控制信息 "更新日期 "更新人 "审批人 " "V1.0 "创建 "2009年1月 " " " "V2.0 "更新 "2012年4月 " " " " " " " " " " " " " " " 备注: 1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。 目 录 第1章 概述 4 1.1 目的 4 1.2 适用范围 4 1.3 适用版本 4 1.4 实施 4 1.5 例外条款 4 第2章 帐号管理、认证授权 5 2.1 帐号 5 2.1.1 共享帐号管理* 5 2.1.2 无关帐号管理* 5 2.2 口令 6 2.2.1 密码复杂度 6 2.2.2 密码生存期 7 2.3 授权 7 2.3.1 用户权利指派* 7 第3章 日志配置操作 9 3.1 日志配置 9 3.1.1 审核登录 9 第4章 IP协议安全配置 10 4.1 IP协议 10 4.1.1 支持加密协议* 10 第5章 设备其他配置操作 11 5.1 安全管理 11 5.1.1 定时登出 11 5.1.2 错误页面处理 11 5.1.3 目录列表访问限制 12 第6章 评审与修订 14 1. 概述 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Tomcat WEB服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:支持中国移动集团公司管理信息系统部运行的Tomcat Web 服务器系统。 适用版本 4.x、5.x、6.x版本的Tomcat Web服务器。 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中 若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送 交中国移动通信有限公司管理信息系统部进行审批备案。 2. 帐号管理、认证授权 帐号 1. 共享帐号管理* "安全基线项"Tomcat共享帐号管理安全基线要求项 " "目名称 " " "安全基线编"SBL-Tomcat-02-01-01 " "号 " " "安全基线项"应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐 " "说明 "号和设备间通信使用的帐号共享。 " "检测操作步"1、参考配置操作 " "骤 "修改tomcat/conf/tomcat-users.xml配置文件,修改或添加帐 " " "号。 " " "<user username="tomcat" password=" Tomcat!234" " " "roles="admin"> " " "2、补充操作说明 " " "1、根据不同用户,取不同的名称。 " " "2、Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的 " " "版本默认都不存在admin.xml配置文件。 " "基线符合性"1、判定条件 " "判定依据 "各帐号都可以登录Tomcat Web服务器为正常 " " "2、检测操作 " " "访问http://ip:8080/manager/html管理页面,进行Tomcat服务" " "器管理 " "备注 "手工检查 " 2. 无关帐号管理* "安全基线项"Tomcat无关帐号管理安全基线要求项 " "目名称 " " "安全基线编"SBL-Tomcat-02-01-02 " "号 " " "安全基线项"应删除或锁定与设备运行、维护等工作无关的帐号。 " "说明 " " "检测操作步"1、参考配置操作 " "骤 "修改tomcat/conf/tomcat-users.xml配置文件,删除与工作无 " " "关的帐号。 " " "例如tomcat1与运行、维护等工作无关,删除帐号: " " "<user username="tomcat1" password="tomcat" " " "roles="admin"> " "基线符合性"1、判定条件 " "判定依据 "被删除的与工作无关的帐号tomcat1不能正常登陆。 " " "2、检测操作 " " "访问http://ip:8080/manager/html管理页面,使用删除帐号进" " "行登陆尝试。 " "备注 "手工检查 " 口令 1. 密码复杂度 "安全基线项"Tomcat密码复杂度安全基线要求项 " "目名称 " " "安全基线编"SBL-Tomcat-02-02-01 " "号 " " "安全基线项"对于采用静态口