中国移动TomcatWeb服务器安全配置规范V1.0.doc

《中国移动TomcatWeb服务器安全配置规范V1.0.doc》由会员分享，可在线阅读，更多相关《中国移动TomcatWeb服务器安全配置规范V1.0.doc（12页珍藏版）》请在三一办公上搜索。

1、中国移动设备Tomcat Web服务器安全配置规范Specification for Tomcat Web Server Configuration in China Mobile版本号：1.0.0-实施-发布中国移动通信有限公司网络部目录1.范围12.规范性引用文件12.1.内部引用12.2.外部引用23.术语、定义和缩略语24.Tomcat Web服务器安全配置要求24.1.账号管理及认证授权要求34.1.1.账号安全要求34.1.2.口令安全要求44.1.3.授权安全要求54.2.日志安全要求54.3.IP协议安全要求64.4.设备其他安全要求75.编制历史9前言为了贯彻安全三同步的要求

2、，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。本标准起草单位：中国移动通信有限公司网络部、中国移动通信浙江有限公司。本标准解释单位：同提出单位。本标准主要起草人：胡鸥、朱国萃、周智、陈敏时、曹一生。1. 范围本规范适用于中国移动通信网、业务系统和支撑系统的Tomcat Web服务器。本规范明确了

3、Tomcat Web服务器安全配置方面的基本要求。2. 规范性引用文件2.1. 内部引用本规范是在中国移动设备通用设备安全功能和配置规范（以下简称通用规范）各项设备配置要求的基础上，提出的Tomcat Web服务器安全配置规范。以下分项列出本规范对通用规范设备配置要求的修订情况。设备通用安全配置要求编号采纳意见补充说明安全要求-设备-通用-配置-1完全采纳参见“安全要求-设备-通用-TOMCAT-配置-1”安全要求-设备-通用-配置-2完全采纳参见“安全要求-设备-通用- TOMCAT -配置-2”安全要求-设备-通用-配置-3不采纳Tomcat不支持在远程登陆时通过切换用户提升权限安全要求-

4、设备-通用-配置-4完全采纳参见“安全要求-设备-通用-TOMCAT-配置-3”安全要求-设备-通用-配置-5完全采纳Tomcat不支持安全要求-设备-通用-配置-29-可选不采纳Tomcat 无设备间通信使用的账户安全要求-设备-通用-配置-6-可选不采纳Tomcat不支持安全要求-设备-通用-配置-7-可选不采纳Tomcat不支持安全要求-设备-通用-配置-9完全采纳参见“安全要求-设备-通用-TOMCAT-配置-4”安全要求-设备-通用-配置-12完全采纳参见“安全要求-设备-通用-TOMCAT-配置-5”安全要求-设备-通用-配置-13-可选部分采纳参见“安全要求-设备-通用-TOMC

5、AT-配置-6-可选”安全要求-设备-通用-配置-24-可选不采纳Tomcat不支持安全要求-设备-通用-配置-14 不采纳Tomcat不支持安全要求-设备-通用-配置-28不采纳Tomcat不支持安全要求-设备-通用-配置-16不采纳Tomcat不支持安全要求-设备-通用-配置-17-可选部分采纳Tomcat不支持安全要求-设备-通用-配置-19完全采纳参见“安全要求-设备-通用-TOMCAT-配置-7”安全要求-设备-通用-配置-20-可选不采纳Tomcat不支持安全要求-设备-通用-配置-27不采纳Tomcat不支持本规范新增的安全配置要求，如下：安全要求-设备-通用-TOMCAT-配置

6、-8-可选安全要求-设备-通用-TOMCAT-配置-9-可选安全要求-设备-通用-TOMCAT-配置-10-可选本规范还针对通用规范中所列的配置要求，给出了在Tomcat Web服务器上的具体配置方法和检测方法。2.2. 外部引用中国移动设备通用安全功能和配置规范3. 术语、定义和缩略语4. Tomcat Web服务器安全配置要求本规范提出的安全功能要求和安全配置要求，在未特别说明的情况下，均适用于设备上运行的Tomcat Web服务器。本规范从账号管理及认证授权、日志以及IP协议和其他四个方面提出安全功能和配置要求。本规范所指的设备为Tomcat Web服务器设备。本规范提出的安全配置要求，

7、在未特别说明的情况下，均适用于4.x、5.x、6.x版本的Tomcat Web服务器。4.1. 账号管理及认证授权要求认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。对于存在字符或图形界面（WEB界面）的人机交互的设备，应提供账号管理及认证授权功能，并应满足以下各项要求。4.1.1. 账号安全要求编号：安全要求-设备-通用-TOMCAT-配置-1要求内容应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用

8、的账号共享。操作指南1、参考配置操作修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帐号。2、补充操作说明1、根据不同用户，取不同的名称。2、Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。检测方法1、判定条件各账号都可以登录Tomcat Web服务器为正常2、检测操作访问http:/ip:8080/manager/html管理页面，进行Tomcat服务器管理编号：安全要求-设备-通用-TOMCAT-配置-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作修改t

9、omcat/conf/tomcat-users.xml配置文件，删除与工作无关的帐号。例如tomcat1与运行、维护等工作无关，删除帐号：检测方法1、判定条件被删除的与工作无关的账号tomcat1不能正常登陆。2、检测操作访问http:/ip:8080/manager/html管理页面，使用删除帐号进行登陆尝试。4.1.2. 口令安全要求编号： 安全要求-设备-通用-TOMCAT-配置-3要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作 在tomcat/conf/tomcat-user.xml配置文件中设

10、置密码2、补充操作说明口令要求：长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测方法1、判定条件检查tomcat/conf/tomcat-user.xml配置文件中的帐号口令是否符合移动通过配置口令复杂度要求。2、检测操作（1）人工检查配置文件中帐号口令是否符合；（2）使用tomcat弱口令扫描工具定期对Tomcat Web服务器进行远程扫描，检查是否存在弱口令帐号。3、补充说明对于使用弱口令扫描工具进行检查时应注意扫描的线程数等方面，避免对服务器造成不必要的资源消耗；选择在服务器负荷较低的时间段进行扫描检查。4.1.3. 授权安全要求编号： 安全要求-设备-通用-T

11、OMCAT-配置-4要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作编辑tomcat/conf/tomcat-user.xml配置文件，修改用户角色权限 授权tomcat具有远程管理权限：2、补充操作说明1、Tomcat 4.x和5.x版本用户角色分为：role1，tomcat，admin，manager四种。role1：具有读权限；tomcat：具有读和运行权限；admin：具有读、运行和写权限；manager：具有远程管理权限。Tomcat 6.0.18版本只有admin和manager两种用户角色，且admin用户具有manager管理权限

12、。2、Tomcat 4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。检测方法1、判定条件登陆远程管理页面，使用tomcat账号进行登陆，登陆成功。2、检测操作登陆http:/ip:8080/manager/html页面，使用tomcat账号登陆，进行远程管理。 4.2. 日志安全要求编号： 安全要求-设备-通用-TOMCAT-配置-5要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作编辑server.xml配置文件，在标签

13、中增加记录日志功能将以下内容的注释标记取消2、补充操作说明classname: This MUST be set to org.apache.catalina.valves.AccessLogValve to use the default access log valve. &Factory classname=”org.apache.catalina.SSLServerSocketFactory”clientAuth=”false” keystoreFile=”/path/to/my/keystore” keystorePass=”runway”protocol=”TLS”/Connect

14、or其中keystorePass的值为生成keystore时输入的密码(3)重新启动tomcat服务检测方法1、判定条件使用https方式登陆tomcat服务器页面，登陆成功2、检测操作使用https方式登陆tomcat服务器管理页面4.4. 设备其他安全要求编号： 安全要求-设备-通用-TOMCAT-配置-7要求内容对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。操作指南1、参考配置操作编辑tomcat/conf/server.xml配置文件，修改为30秒 2、补充操作说明检测方法1、判定条件30秒自动登出。 2、检测操作登陆tomcat默认页面http

15、:/ip:8080/manager/html ，使用管理账号登陆3、补充说明编号： 安全要求-设备-通用-TOMCAT-配置-8-可选要求内容更改tomcat服务器默认端口操作指南1、参考配置操作（1）修改tomcat/conf/server.xml配置文件，更改默认管理端口到8800 （2）重启tomcat服务 2、补充操作说明检测方法1、判定条件使用8800端口登陆页面成功2、检测操作登陆http:/ip:8800 3、补充说明编号： 安全要求-设备-通用-TOMCAT-配置-9-可选要求内容Tomcat错误页面重定向操作指南1、参考配置操作(1)配置tomcat/conf/web.xml

16、文件:在最后一行之前加入以下内容： 404/noFile.htm java.lang.NullPointerException/ error.jsp 第一个之间的配置实现了将404未找到jsp网页的错误导向noFile.htm页面，也可以用类似方法添加其多的错误代码导向页面，如403,500等。第二个之间的配置实现了当jsp网页出现java.lang.NullPointerException导常时，转向error.jsp错误页面，还需要在第个jsp网页中加入以下内容:典型的error.jsp错误页面的程序写法如下:错误页面出错了： 错误信息: Stack Trace is : 当出现NullP

17、ointerException异常时tomcat会把网页导入到error.jsp，且会打印出出错信息。(2)重新启动tomcat服务检测方法1、判定条件指向指定错误页面2、检测操作URL地址栏中输入http:/ip:8800/manager编号： 安全要求-设备-通用-TOMCAT-配置-10-可选要求内容禁止tomcat列表显示文件操作指南1、参考配置操作(1) 编辑tomcat/conf/web.xml配置文件， listings true 把true改成false (2)重新启动tomcat服务检测方法1、判定条件当WEB目录中没有默认首页如index.html,index.jsp等文件时，不会列出目录内容2、检测操作直接访问http:/ip:8800/webadd5. 编制历史版本号更新时间主要内容或重大修改1.0.02008-101.0.12009-10因Tomcat无“帐号口令的生存期不长于90天”的配置项 ，删除了该配置要求。更新配置要求编号。