編號(hào)

ELK-Tomcat-01-01-01

名稱

為不同的管理員分配不同的賬號(hào)

實(shí)施目的

應(yīng)按照用戶分配賬號(hào)，避免不同用戶間共享賬號(hào),提高安全性。

問題影響

賬號(hào)混淆，權(quán)限不明確，存在用戶越權(quán)使用的可能。

系統(tǒng)當(dāng)前狀態(tài)

記錄tomcat/conf/tomcat-users.xml文件

實(shí)施步驟

1、參考配置操作

修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帳號(hào)。

<user username=”tomcat”?password=”?Tomcat!234”?roles=”admin”>

2、補(bǔ)充操作說明

1、根據(jù)不同用戶，取不同的名稱。

2、Tomcat 4.1.37、5.5.27和6.0.18這三個(gè)版本及以后發(fā)行的版本默認(rèn)都不存在admin.xml配置文件。

回退方案

還原tomcat/conf/tomcat-users.xml文件

判斷依據(jù)

詢問管理員是否安裝需求分配用戶賬號(hào)

實(shí)施風(fēng)險(xiǎn)

高

重要等級(jí)

★★★

備注文章來源地址http://www.zghlxwxcb.cn/news/detail-755743.html

編號(hào)

ELK-Tomcat-01-01-02

名稱

刪除或鎖定無效賬號(hào)

實(shí)施目的

刪除或鎖定無效的賬號(hào)，減少系統(tǒng)安全隱患。

問題影響

允許非法利用系統(tǒng)默認(rèn)賬號(hào)

系統(tǒng)當(dāng)前狀態(tài)

記錄tomcat/conf/tomcat-users.xml文件

實(shí)施步驟

1、參考配置操作

修改tomcat/conf/tomcat-users.xml配置文件，刪除與工作無關(guān)的帳號(hào)。

例如tomcat1與運(yùn)行、維護(hù)等工作無關(guān)，刪除帳號(hào)：

<user username=”tomcat1”?password=”tomcat”?roles=”admin”>

回退方案

還原tomcat/conf/tomcat-users.xml文件

判斷依據(jù)

詢問管理員,哪些賬號(hào)是無效賬號(hào)

實(shí)施風(fēng)險(xiǎn)

高

重要等級(jí)

★★★

備注

編號(hào)

ELK-Tomcat-01-01-03

名稱

密碼復(fù)雜度

實(shí)施目的

對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類。

問題影響

被暴力破解

系統(tǒng)當(dāng)前狀態(tài)

記錄tomcat/conf/tomcat-users.xml文件

實(shí)施步驟

1、參考配置操作

?在tomcat/conf/tomcat-user.xml配置文件中設(shè)置密碼

<user username=”tomcat”?password=”Tomcat!234”?roles=”admin”>

2、補(bǔ)充操作說明

口令要求：長(zhǎng)度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類。

回退方案

還原tomcat/conf/tomcat-users.xml文件

判斷依據(jù)

判定條件

查看tomcat/conf/tomcat-users.xml文件

實(shí)施風(fēng)險(xiǎn)

高

重要等級(jí)

★★★

備注

編號(hào)

ELK-Tomcat-01-01-04

名稱

權(quán)限最小化

實(shí)施目的

在數(shù)據(jù)庫(kù)權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。

問題影響

賬號(hào)權(quán)限越大,對(duì)系統(tǒng)的威脅性越高

系統(tǒng)當(dāng)前狀態(tài)

查看tomcat/conf/tomcat-user.xml

實(shí)施步驟

1、參考配置操作

編輯tomcat/conf/tomcat-user.xml配置文件，修改用戶角色權(quán)限?

授權(quán)tomcat具有遠(yuǎn)程管理權(quán)限：

<user username=”tomcat”?password=”chinamobile”?

roles=”admin,manager”>

2、補(bǔ)充操作說明

1、Tomcat 4.x和5.x版本用戶角色分為：role1，tomcat，admin，manager四種。

role1：具有讀權(quán)限；

tomcat：具有讀和運(yùn)行權(quán)限；

admin：具有讀、運(yùn)行和寫權(quán)限；

manager：具有遠(yuǎn)程管理權(quán)限。

Tomcat 6.0.18版本只有admin和manager兩種用戶角色，且admin用戶具有manager管理權(quán)限。

2、Tomcat 4.1.37和5.5.27版本及以后發(fā)行的版本默認(rèn)除admin用戶外其他用戶都不具有manager管理權(quán)限。

回退方案

還原tomcat/conf/tomcat-user.xml

判斷依據(jù)

業(yè)務(wù)測(cè)試正常

實(shí)施風(fēng)險(xiǎn)

高

重要等級(jí)

★

備注

編號(hào)

ELK-Tomcat-02-01-01

名稱

啟用日志記錄功能

實(shí)施目的

數(shù)據(jù)庫(kù)應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)、登錄是否成功、登錄時(shí)間以及遠(yuǎn)程登錄時(shí)用戶使用的IP地址。

問題影響

無法對(duì)用戶的登陸進(jìn)行日志記錄

系統(tǒng)當(dāng)前狀態(tài)

查看server.xml

實(shí)施步驟

1、參考配置操作

編輯server.xml配置文件，在<HOST>標(biāo)簽中增加記錄日志功能

將以下內(nèi)容的注釋標(biāo)記< ! -- ???-- >取消

<valve classname=”org.apache.catalina.valves.AccessLogValve”

Directory=”logs”?prefix=”localhost_access_log.”?Suffix=”.txt”

Pattern=”common”?resloveHosts=”false”/>

2、補(bǔ)充操作說明

classname:?This MUST be set to

?org.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60

Directory:日志文件放置的目錄，在tomcat下面有個(gè)logs文件夾，那里面是專門放置日志文件的，也可以修改為其他路徑；

Prefix:?這個(gè)是日志文件的名稱前綴，日志名稱為localhost_access_log.2008-10-22.txt，前面的前綴就是這個(gè)localhost_access_log

Suffix:?文件后綴名

Pattern:?common方式時(shí)，將記錄訪問源IP、本地服務(wù)器IP、記錄日志服務(wù)器IP、訪問方式、發(fā)送字節(jié)數(shù)、本地接收端口、訪問URL地址等相關(guān)信息在日志文件中

resolveHosts:值為true時(shí)，tomcat會(huì)將這個(gè)服務(wù)器IP地址通過DNS轉(zhuǎn)換為主機(jī)名，如果是false，就直接寫服務(wù)器IP地址

回退方案

還原server.xml

判斷依據(jù)

判定條件

登錄測(cè)試，檢查相關(guān)信息是否被記錄

查看server.xml文件

實(shí)施風(fēng)險(xiǎn)

低

重要等級(jí)

★★★

備注

編號(hào)

ELK-Tomcat-03-01-01

名稱

HTTPS協(xié)議

實(shí)施目的

對(duì)于通過HTTP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)支持使用HTTPS等加密協(xié)議。

問題影響

增加數(shù)據(jù)庫(kù)數(shù)據(jù)傳輸安全隱患

系統(tǒng)當(dāng)前狀態(tài)

查看tomcat/conf/server.xml

實(shí)施步驟

(1)使用JDK自帶的keytool工具生成一個(gè)證書

JAVA_HOME/bin/keytool ?-genkey –alias tomcat –keyalg ?RSA

-keystore /path/to/my/keystore

(2)修改tomcat/conf/server.xml配置文件，更改為使用https方式，增加如下行：

Connector classname=”org.apache.catalina.http.HttpConnector”?

port=”8443”??minProcessors=”5”??maxprocessors=”100”?

enableLookups=”true”??acceptCount=”10”??debug=”0”

scheme=”https”?secure=”true”?>

Factory classname=”org.apache.catalina.SSLServerSocketFactory”

clientAuth=”false”?

keystoreFile=”/path/to/my/keystore”??keystorePass=”runway”

protocol=”TLS”/>

/Connector>

其中keystorePass的值為生成keystore時(shí)輸入的密碼

(3)重新啟動(dòng)tomcat服務(wù)

回退方案

還原tomcat/conf/server.xml?

判斷依據(jù)

1. 判定條件

查看tomcat/conf/server.xml

2、檢測(cè)操作

使用https方式登陸tomcat服務(wù)器管理頁面

實(shí)施風(fēng)險(xiǎn)

高

重要等級(jí)

★★

備注

編號(hào)

ELK-Tomcat-03-01-02

名稱

更改tomcat服務(wù)器默認(rèn)端口

實(shí)施目的

更改tomcat服務(wù)器默認(rèn)端口,增加系統(tǒng)安全性

問題影響

不安全性增加

系統(tǒng)當(dāng)前狀態(tài)

查看tomcat/conf/server.xml

實(shí)施步驟

1、參考配置操作

（1）修改tomcat/conf/server.xml配置文件，更改默認(rèn)管理端口到8800

?<Connector

port="8800" ?maxHttpHeaderSize="8192"?maxThreads="150"

minSpareThreads="25" maxSpareThreads="75"、

enableLookups="false" redirectPort="8443" acceptCount="100"

?connectionTimeout="300" disableUploadTimeout="true" />

（2）重啟tomcat服務(wù)

回退方案

還原tomcat/conf/server.xml

判斷依據(jù)

1、判定條件

查看tomcat/conf/server.xml

2、檢測(cè)操作

登陸http://ip:8800

實(shí)施風(fēng)險(xiǎn)

高

重要等級(jí)

★

備注

編號(hào)

ELK-Tomcat-04-01-01

名稱

登錄超時(shí)

實(shí)施目的

對(duì)于具備字符交互界面的設(shè)備，應(yīng)支持定時(shí)賬戶自動(dòng)登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。

問題影響

被惡意攻擊者盜用

系統(tǒng)當(dāng)前狀態(tài)

查看tomcat/conf/server.xml

實(shí)施步驟

參考配置操作

編輯tomcat/conf/server.xml配置文件，修改為30秒

<Connector

port="8080" ?maxHttpHeaderSize="8192"?maxThreads="150"

minSpareThreads="25" maxSpareThreads="75"、

enableLookups="false" redirectPort="8443" acceptCount="100"

?connectionTimeout="300" disableUploadTimeout="true" />

回退方案

還原tomcat/conf/server.xml

判斷依據(jù)

1、判定條件

查看tomcat/conf/server.xml

2、檢測(cè)操作

登陸tomcat默認(rèn)頁面http://ip:8080/manager/html ，使用管理賬號(hào)登陸

實(shí)施風(fēng)險(xiǎn)

高

重要等級(jí)

★★

備注

編號(hào)

ELK-Tomcat-04-01-02

名稱

Tomcat錯(cuò)誤頁面重定向

實(shí)施目的

更改Tomcat錯(cuò)誤頁面重定向頁面,增加系統(tǒng)安全性

問題影響

不安全性增加

系統(tǒng)當(dāng)前狀態(tài)

查看tomcat/conf/web.xml

實(shí)施步驟

1、參考配置操作

(1)配置tomcat/conf/web.xml文件:
在最后</web-app>一行之前加入以下內(nèi)容：
<error-page>
<error-code>404</error-code>
<location>/noFile.htm</location>
</error-page>
……………
<error-page>
<exception-type>java.lang.NullPointerException</exception-type>
<location>/ error.jsp</location>
</error-page>
第一個(gè)<error-page></error-page>之間的配置實(shí)現(xiàn)了將404未找到j(luò)sp網(wǎng)頁的錯(cuò)誤導(dǎo)向noFile.htm頁面，也可以用類似方法添加其多的錯(cuò)誤代碼導(dǎo)向頁面，如403,500等。
第二個(gè)<error-page></error-page>之間的配置實(shí)現(xiàn)了當(dāng)jsp網(wǎng)頁出現(xiàn)java.lang.NullPointerException導(dǎo)常時(shí)，轉(zhuǎn)向error.jsp錯(cuò)誤頁面，還需要在第個(gè)jsp網(wǎng)頁中加入以下內(nèi)容:
<%@ page errorPage="/error.jsp" %>
典型的error.jsp錯(cuò)誤頁面的程序?qū)懛ㄈ缦?
<%@ page contentType="text/html;charset=GB2312"%>
<%@ page isErrorPage="true"%>
<html>
<head><title>錯(cuò)誤頁面</title></head>
<body>出錯(cuò)了：</p> 錯(cuò)誤信息: <%= exception.getMessage() %><br>
Stack Trace is : <pre><font color="red"><%
java.io.CharArrayWriter cw = new java.io.CharArrayWriter();
java.io.PrintWriter pw = new java.io.PrintWriter(cw,true);
exception.printStackTrace(pw);
out.println(cw.toString());
%></font></pre>
</body>
</html>
當(dāng)出現(xiàn)NullPointerException異常時(shí)tomcat會(huì)把網(wǎng)頁導(dǎo)入到error.jsp，且會(huì)打印出出錯(cuò)信息。

回退方案

還原tomcat/conf/web.xml

判斷依據(jù)

1、判定條件

查看tomcat/conf/web.xml

2、檢測(cè)操作

URL地址欄中輸入http://ip:8800/manager~~~

實(shí)施風(fēng)險(xiǎn)

高

重要等級(jí)

★

備注

編號(hào)

ELK-Tomcat-04-01-03

名稱

禁止tomcat列表顯示文件

實(shí)施目的

禁止tomcat列表顯示文件,增加系統(tǒng)安全性

問題影響

不安全性增加

系統(tǒng)當(dāng)前狀態(tài)

查看tomcat/conf/web.xml

實(shí)施步驟

1、參考配置操作

(1)?編輯tomcat/conf/web.xml配置文件，
<init-param>
? ?? ???<param-name>listings</param-name>
? ?? ???<param-value>true</param-value>
? ? </init-param>
把true改成false

?(2)重新啟動(dòng)tomcat服務(wù)

回退方案

還原tomcat/conf/web.xml

判斷依據(jù)

1、判定條件

查看tomcat/conf/web.xml

2、檢測(cè)操作

直接訪問http://ip:8800/webadd

實(shí)施風(fēng)險(xiǎn)

高

重要等級(jí)

★

備注