《中国移动TomcatWeb服务器安全配置规范V1.0》由会员分享,可在线阅读,更多相关《中国移动TomcatWeb服务器安全配置规范V1.0(12页珍藏版)》请在金锄头文库上搜索。
1、中国移动设备Tomcat Web服务器安全配置规范Specification for Tomcat Web Server Configuration in China Mobile版本号:1.0.0-实施-发布中国移动通信有限公司网络部 中国移动Tomcat Web服务器安全配置规范目录1.范围12.规范性引用文件12.1.内部引用12.2.外部引用23.术语、定义和缩略语24.Tomcat Web服务器安全配置要求24.1.账号管理及认证授权要求34.1.1.账号安全要求34.1.2.口令安全要求44.1.3.授权安全要求54.2.日志安全要求54.3.IP协议安全要求64.4.设备其他安全
2、要求75.编制历史9前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。本标准起草单位:中国移动通信有限公司网络部、中国移动通信浙江有限公司。本标准解释单位:同提出单位。本标准主要起草人:胡鸥、朱国萃、周智、陈敏时、曹一生。I1. 范围本规范适用于中国移动通信网、业务系统和
3、支撑系统的Tomcat Web服务器。本规范明确了Tomcat Web服务器安全配置方面的基本要求。2. 规范性引用文件2.1. 内部引用本规范是在中国移动设备通用设备安全功能和配置规范(以下简称通用规范)各项设备配置要求的基础上,提出的Tomcat Web服务器安全配置规范。以下分项列出本规范对通用规范设备配置要求的修订情况。设备通用安全配置要求编号采纳意见补充说明安全要求-设备-通用-配置-1完全采纳参见“安全要求-设备-通用-TOMCAT-配置-1”安全要求-设备-通用-配置-2完全采纳参见“安全要求-设备-通用- TOMCAT -配置-2”安全要求-设备-通用-配置-3不采纳Tomca
4、t不支持在远程登陆时通过切换用户提升权限安全要求-设备-通用-配置-4完全采纳参见“安全要求-设备-通用-TOMCAT-配置-3”安全要求-设备-通用-配置-5完全采纳Tomcat不支持安全要求-设备-通用-配置-29-可选不采纳Tomcat 无设备间通信使用的账户安全要求-设备-通用-配置-6-可选不采纳Tomcat不支持安全要求-设备-通用-配置-7-可选不采纳Tomcat不支持安全要求-设备-通用-配置-9完全采纳参见“安全要求-设备-通用-TOMCAT-配置-4”安全要求-设备-通用-配置-12完全采纳参见“安全要求-设备-通用-TOMCAT-配置-5”安全要求-设备-通用-配置-13
5、-可选部分采纳参见“安全要求-设备-通用-TOMCAT-配置-6-可选”安全要求-设备-通用-配置-24-可选不采纳Tomcat不支持安全要求-设备-通用-配置-14 不采纳Tomcat不支持安全要求-设备-通用-配置-28不采纳Tomcat不支持安全要求-设备-通用-配置-16不采纳Tomcat不支持安全要求-设备-通用-配置-17-可选部分采纳Tomcat不支持安全要求-设备-通用-配置-19完全采纳参见“安全要求-设备-通用-TOMCAT-配置-7”安全要求-设备-通用-配置-20-可选不采纳Tomcat不支持安全要求-设备-通用-配置-27不采纳Tomcat不支持本规范新增的安全配置要
6、求,如下:安全要求-设备-通用-TOMCAT-配置-8-可选安全要求-设备-通用-TOMCAT-配置-9-可选安全要求-设备-通用-TOMCAT-配置-10-可选本规范还针对通用规范中所列的配置要求,给出了在Tomcat Web服务器上的具体配置方法和检测方法。2.2. 外部引用中国移动设备通用安全功能和配置规范3. 术语、定义和缩略语4. Tomcat Web服务器安全配置要求本规范提出的安全功能要求和安全配置要求,在未特别说明的情况下,均适用于设备上运行的Tomcat Web服务器。本规范从账号管理及认证授权、日志以及IP协议和其他四个方面提出安全功能和配置要求。本规范所指的设备为Tomc
7、at Web服务器设备。本规范提出的安全配置要求,在未特别说明的情况下,均适用于4.x、5.x、6.x版本的Tomcat Web服务器。4.1. 账号管理及认证授权要求认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限,并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。对于存在字符或图形界面(WEB界面)的人机交互的设备,应提供账号管理及认证授权功能,并应满足以下各项要求。4.1.1. 账号安全要求编号:安全要求-设备-通用-TOMCAT-配置-1要求内容应按照用户分配账号。避
8、免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作修改tomcat/conf/tomcat-users.xml配置文件,修改或添加帐号。2、补充操作说明1、根据不同用户,取不同的名称。2、Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。检测方法1、判定条件各账号都可以登录Tomcat Web服务器为正常2、检测操作访问http:/ip:8080/manager/html管理页面,进行Tomcat服务器管理编号:安全要求-设备-通用-TOMCAT-配置-2要求内容应删除或锁定与设备运行、维
9、护等工作无关的账号。操作指南1、参考配置操作修改tomcat/conf/tomcat-users.xml配置文件,删除与工作无关的帐号。例如tomcat1与运行、维护等工作无关,删除帐号:检测方法1、判定条件被删除的与工作无关的账号tomcat1不能正常登陆。2、检测操作访问http:/ip:8080/manager/html管理页面,使用删除帐号进行登陆尝试。4.1.2. 口令安全要求编号: 安全要求-设备-通用-TOMCAT-配置-3要求内容对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作 在tomcat/c
10、onf/tomcat-user.xml配置文件中设置密码2、补充操作说明口令要求:长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测方法1、判定条件检查tomcat/conf/tomcat-user.xml配置文件中的帐号口令是否符合移动通过配置口令复杂度要求。2、检测操作(1)人工检查配置文件中帐号口令是否符合;(2)使用tomcat弱口令扫描工具定期对Tomcat Web服务器进行远程扫描,检查是否存在弱口令帐号。3、补充说明对于使用弱口令扫描工具进行检查时应注意扫描的线程数等方面,避免对服务器造成不必要的资源消耗;选择在服务器负荷较低的时间段进行扫描检查。4.1.
11、3. 授权安全要求编号: 安全要求-设备-通用-TOMCAT-配置-4要求内容在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。操作指南1、参考配置操作编辑tomcat/conf/tomcat-user.xml配置文件,修改用户角色权限 授权tomcat具有远程管理权限:2、补充操作说明1、Tomcat 4.x和5.x版本用户角色分为:role1,tomcat,admin,manager四种。role1:具有读权限;tomcat:具有读和运行权限;admin:具有读、运行和写权限;manager:具有远程管理权限。Tomcat 6.0.18版本只有admin和manager两种用
12、户角色,且admin用户具有manager管理权限。2、Tomcat 4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。检测方法1、判定条件登陆远程管理页面,使用tomcat账号进行登陆,登陆成功。2、检测操作登陆http:/ip:8080/manager/html页面,使用tomcat账号登陆,进行远程管理。 4.2. 日志安全要求编号: 安全要求-设备-通用-TOMCAT-配置-5要求内容设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。操作指南1、参
13、考配置操作编辑server.xml配置文件,在标签中增加记录日志功能将以下内容的注释标记取消2、补充操作说明classname: This MUST be set to org.apache.catalina.valves.AccessLogValve to use the default access log valve. &60Directory:日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专门放置日志文件的,也可以修改为其他路径;Prefix: 这个是日志文件的名称前缀,日志名称为localhost_access_log.2008-10-22.txt,前面的前缀就是这个localhost_access_logSuffix: 文件后缀名Pattern: common方式时,将记录访问源IP、本地服务器IP、记录日志服务器IP、访问方式、发送字节数、本地接收端口、访问URL
