当前位置:文档之家 › Tomcat系统安全配置基线

Tomcat系统安全配置基线

  • 格式:docx
  • 大小:87.52 KB
  • 文档页数:8

下载文档原格式

  / 8

合集下载

Tomcat安全基线

Tomcat安全基线

Tomcat中间件安全配置基线加固操作指导书
佛山供电局信息中心
2014年4月
目录
1.1 Tomcat安全基线要求 (3)
1.1.1 对登录Tomcat的用户进行身份鉴别 (3)
1.1.2 限制管理中间件用户权限 (3)
1.1.3 修改默认口令 (4)
1.1.4 访问日志审计功能 (4)
1.1.5 保护日志审计 (5)
1.1.6 限制超时连接 (5)
1.1.7 修改SHUTDOWN字符串 (5)
1.1.8 禁止目录遍历操作 (6)
1.1.9 防止版本信息泄漏 (6)
1.1.10 自定义错误信息 (7)
1.1 Tomcat安全基线要求
1.1.1 对登录Tomcat的用户进行身份鉴别
1.1.2 限制管理中间件用户权限
1.1.3 修改默认口令
1.1.4 访问日志审计功能
1.1.5 保护日志审计
1.1.6 限制超时连接
1.1.7 修改SHUTDOWN字符串
1.1.8 禁止目录遍历操作
1.1.9 防止版本信息泄漏
1.1.10 自定义错误信息。

Tomcat安装及配置教程

Tomcat安装及配置教程

Tomcat安装及配置教程Tomcat安装及配置教程Tomcat 服务器是⼀个免费的开放源代码的Web 应⽤服务器,属于轻量级应⽤服务器,在中⼩型系统和并发访问⽤户不是很多的场合下被普遍使⽤,是开发和调试JSP 程序的⾸选。

今天就在这⾥教⼤家如何进⾏安装以及配置。

操作⽅法01⾸先第⼀步,进⼊官⽹进⾏下载,选择Download下你要安装的版本进⾏下载。

02此次下载的是windows安装版,直接点击即可安装,但在安装前必须要进⾏环境设置——>设置Tomcat运⾏时依赖的SDK。

设置⽅法:选择我的电脑->属性->⾼级系统设置->环境变量->⽤户变量下选择"新建" 如下图所⽰:其中变量值为:SDK的安装路径。

03之后便是安装过程。

选择“Next”。

04选择“I Agree”。

05此处只选择设置User Name和Password其它选项选择默认值。

06选择你电脑上已安装的jre路径。

07选择“Tomcat”的安装路径。

08这⾥我们先取消上⾯两个选项,单击“Finish”完成安装。

09Tomcat 的主⽬录⽂件详解:Tomcat的主⽬录⽂件夹有以下⼏个:1. bin:⽤于存放启动和关闭tomcat的可执⾏⽂件。

2. lib:⾥⾯存放需要的jar包。

3. conf:tomcat的各种配置⽂件,tomcat启动时需要读取的配置⽂件主要有:server.xml,web.xml,tomcat-users.xml等等。

服务器的修改都要从此⽬录中进⾏。

4. logs:⽇志⽂件,如果服务器出现错误,会⾃动记录。

5. server:服务器的管理程序。

6. webapps:所有的可执⾏的web项⽬都会放到此⽬录中。

7. work:tomcat把各种由jsp⽣成的servlet都放在了这个⽂件夹下,⾥⾯包含.java⽂件和.class⽂件。

10启动Tomcat启动Tomcat我们可以直接运⾏bin⽬录下的 Tomcat6.exe 可执⾏⽂件如出现下⾯的效果则说明Tomcat启动成功了。

TongWeb 服务器安全配置基线

TongWeb 服务器安全配置基线

TongWeb服务器安全配置基线页脚内容1备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。

页脚内容2目录第1章...................................................................................................... 概述01.1 .............................................................................................................. 目的1.2 ..................................................................................................... 适用范围1.3 ..................................................................................................... 适用版本1.4 ............................................................................................................. 实施1.5 ..................................................................................................... 例外条款第2章 ........................................................................... 账号管理、认证授权02.1 ............................................................................................................. 帐号2.1.1 ....................................................................................... 应用帐号分配2.1.2 ....................................................................................... 用户口令设置页脚内容22.1.3 ....................................................................................... 用户帐号删除42.2 ..................................................................................................... 认证授权52.2.1 ........................................................................................... 控制台安全5第3章 ...................................................................................... 日志配置操作83.1 ..................................................................................................... 日志配置83.1.1 ........................................................................................... 日志与记录8第4章 ............................................................................................. 备份容错114.1 ..................................................................................................... 备份容错11第5章 .................................................................................. IP协议安全配置135.1 ......................................................................................... IP通信安全协议页脚内容I13第6章 ............................................................................... 设备其他配置操作166.1 ..................................................................................................... 安全管理166.1.1 ................................................................................ 禁止应用程序可显166.1.2 ............................................................................................. 端口设置*186.1.3 ....................................................................................... 错误页面处理19第7章 .......................................................................................... 评审与修订22页脚内容II第1章概述1.1目的本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。

终端安全配置基线名词解释

终端安全配置基线名词解释

终端安全配置基线名词解释
安全配置基线是操作系统,DB,中间件,网络设备(交换机,路由器,防火墙),终端PC设备上设置的基本配置项。

除了软件系统最基本最重要的安全配置,还需要符合国家信息安全政策法规及监管要求。

人行,四部委,国家标准化管理委员会,质量监督检验检疫总局等都发布过相关指引文件。

一般都要新建基线,然后持续维护修订。

系统复杂的,基线规范和手册需要进行分离编写。

规范类似宪法,手册类似各种普通法律法规。

规范指导手册。

里面应该明确每年什么时间,对什么配置进行哪些项目的检查。

上线前后,开发环境,生产环境都需要按照基线规范进行检查。

比如中间件:Apache,Tomcat,Nginx,Weblogic,IBM MQ,Tuexdo,Kafka 等需要确认日志配置(符合监管,设置日志门卫,不能所有信息都打出来),账号口令设置定期修改策略,账号登录系统多久超时强制下线,端口设置,目录权限(主目录一般小于775),配置文件权限(一般小于775)。

Tomcat系统安全配置基线

Tomcat系统安全配置基线

检测操作步骤
1、参考配置操作
在tomcat/conf/配置文件中设置密码
<user username=”tomcat” password=”Tomcat!234” roles=”admin”>
2、补充操作说明
口令要求:长度至少12位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
基线符合性判定依据
</error-page>
基线符合性判定依据
查看Tomcat_home\webapps\APP_NAME\WEB-INF\中<error-page> </error-page>部分的设置
备注
4.1.3
安全基线项目名称
对敏感目录的访问IP或主机名进行限制
安全基线项说明
对敏感目录的访问IP或主机名进行限制
2、补充操作说明
1、根据不同用户,取不同的名称。
基线符合性判定依据
询问管理员是否安装需求分配用户号
备注
2.1.2
安全基线项目名称
删除或锁定无效账号
安全基线项说明
删除或锁定无效的账号,减少系统安全隐患。
检测操作步骤
参考配置操作
修改tomcat/conf/配置文件,删除与工作无关的帐号。
例如tomcat1与运行、维护等工作无关,删除帐号:
connectionTimeout="300" disableUploadTimeout="true" />
基线符合性判定依据
1、判定条件
查看tomcat/conf/
2、检测操作
备注
4.1.2
安全基线项目名称
自定义错误信息
安全基线项说明
安全基线配置检查

安全基线配置检查

安全基线配置检查随着互联网的普及和网络攻击的日益频繁,确保系统和网络的安全性成为了企业和个人必须要关注和重视的问题。

而安全基线配置检查则是一种有效的手段,可以帮助我们评估系统和网络的安全性,并采取相应的措施来提高安全性。

安全基线配置检查是指对系统和网络的各项配置进行检查和评估,以确定是否符合安全基线的要求。

安全基线是指根据安全标准和最佳实践所制定的一系列安全配置要求。

通过对系统和网络的配置进行检查,可以发现潜在的安全风险和漏洞,并及时采取措施进行修复,以保护系统和网络的安全。

安全基线配置检查主要包括以下几个方面:1. 操作系统配置检查:检查操作系统的配置是否符合安全要求,包括密码策略、访问控制、日志记录等方面。

例如,密码策略要求密码的复杂度较高,用户锁定策略设置合理,日志记录开启并定期审计等。

2. 网络设备配置检查:检查网络设备的配置是否符合安全要求,包括防火墙、路由器、交换机等设备。

例如,防火墙的配置是否严格,路由器的访问控制列表是否设置合理等。

3. 应用程序配置检查:检查应用程序的配置是否符合安全要求,包括数据库、Web服务器、邮件服务器等应用程序。

例如,数据库的访问权限是否受限,Web服务器的安全设置是否完善等。

4. 安全补丁和更新检查:检查系统和应用程序是否安装了最新的安全补丁和更新,以修复已知的安全漏洞。

及时安装安全补丁和更新可以有效防止黑客利用已知漏洞进行攻击。

5. 安全策略和权限检查:检查系统和网络的安全策略和权限设置是否合理。

例如,用户的权限是否严格控制,敏感数据的访问权限是否受限等。

通过安全基线配置检查,可以及时发现系统和网络的安全隐患,并采取相应的措施来提高安全性。

但是,在进行安全基线配置检查时,也需要注意以下几个问题:1. 安全配置不是唯一的:安全配置并没有统一的标准,不同的安全标准和最佳实践可能会有所不同。

因此,在进行安全基线配置检查时,需要根据企业或个人的实际情况来确定安全配置的要求。

Tomcat7.0安装配置详细(图文)

Tomcat7.0安装配置详细(图文)

Tomcat7.0安装配置详细(图⽂) 1.进⼊上⾯的⽹站然后如下操作使⽤Window Service Installer(为Window 添加服务)2.然后我们进⾏安装说明⼀下:以前的版本是没有关于Role的设定,到了7.0的时候就有有关的设定,这也说明Tomcat对权限的关注⼀个tomcat运⾏的端⼝号:8080默认端⼝号:80,就是说不⽤输⼊端⼝号,默认输⼊就是80剩下的基本就是默认的,也没什么特殊的,在这⾥我在说明⼀下Tomcat安装完成后的⽬录有bin------存放启动和关闭的tomcat脚本conf-----包含不同的配置⽂件work----存放jsp编译后产⽣的class⽂件webapp存放应⽤程序的⽬录log-----存放⽇志⽂件lib------存放tomcat所需要的jar⽂件doc-----存放各种Tomcat⽂档通过bin/startup.bat命令运⾏Tomcat服务器(也可以通过⼩圆图标来启动哦)打开htt://localhost:8080查看服务是否启动正常如果出现下图,说明服务器安装成功tomcat7.0 的虚拟⽬录的配置:1.⾸先进⼊Tomcat 7.0conf的⽬录2.然后点击Tomcat 7.0confCatalinalocalhost的⽬录下3.最后创建⼀个虚拟⽬录的名字的xml⽂件如下:名字.xml复制代码代码如下:<Context path="/名字" docBase="D:Tomcat 7.0⽂件夹名" debug="5" reloadable="true" crossContext="true" />虚拟⽬录创建好了。

以后就可以在这个虚拟⽬录下操作了(以上和前⾯版本的虚拟⽬录配置有所不同,请区别对待)如果使⽤软件的话,他们默认的是把⼯程发布到tomcat的webapp⽂件夹下,很不⽅便,⽽且还互相影响(⽐如myEclipse)写⼀个简单的helloworld,感受⼀下jsp:<html><head><title>简单的程序</title></head><body><%="chenhailong,hello world" %></body></html>下⾯是其它⽹友的补充:Tomcat7.0.22在Windows下详细配置过程⼀、JDK1.7安装2、添加系统环境变量,我的电脑->属性->⾼级->环境变量(如果添加的环境变量已经存在,点击“编辑”添加,否则点击“新建”添加)(1)变量名: JAVA_HOME 变量值: D:\Program Files\Java\jdk1.6.0_29(点击“新建”,输⼊变量名、变量值,变量值末不需要分号)(2)变量名: CLASSPATH 变量值: D:\Program Files\Java\jdk1.6.0_29\lib\dt.jar;D:\Program Files\Java\jdk1.6.0_29\lib\tools.jar(“新建”,变量值末不需要分号)(3)变量名: Path 变量值: D:\Program Files\Java\jdk1.6.0_29\bin(“编辑”,变量值使⽤英⽂分号隔开,变量值末不需要分号)3、“开始”->“运⾏”->输⼊cmd,在命令提⽰符中输⼊“java -version”,“java”,“javac”⼏个命令,出现画⾯,说明环境变量配置成功⼆、Tomcat7.0.22安装配置2、添加系统环境变量,我的电脑->属性->⾼级系统设置->环境变量(操作同上)(1)变量名: CATALINA_BASE 变量值: D:\Program Files\apache-tomcat-7.0.22(Tomcat解压到的⽬录)(2)变量名: CATALINA_HOME 变量值: D:\Program Files\apache-tomcat-7.0.22(3)变量名: CATALINA_TMPDIR 变量值: D:\Program Files\apache-tomcat-7.0.22\temp(4)变量名: Path 变量值:D:\Program Files\apache-tomcat-7.0.22\bin。

各类操作系统安全基线配置及操作指南

各类操作系统安全基线配置及操作指南

各类操作系统安全配
置要求及操作指南
检查模块 支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本 2.6 以上 Oracle Oracle 8i 以上 SQL Server Microsoft SQL Server 2000以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x 以上 WebLogic WebLogic 8.X以上
Windows 操作系统 安全配置要求及操作指南
I
目录

录 ..................................................................... I

言 .................................................................... II
4 安全配置要求 ............................................................... 2
4.1 账号 ..................................................................... 2
4.2 口令 编号: 1 要求内容 密码长度要求:最少 8 位 密码复杂度要求:至少包含以下四种类别的字符中的三种: z 英语大写字母 A, B, C, , Z z 英语小写字母 a, b, c, , z z 阿拉伯数字 0, 1, 2, , 9 z 非字母数字字符,如标点符号, @, #, $, %, &, *等
操作系统安全基线配置

操作系统安全基线配置

操作系统安全基线配置要求为不同用户分配独立的帐户,不允许多个用户共享同一帐户。

应删除或锁定过期或无用的帐户。

只允许指定授权帐户对主机进行远程访问。

应根据实际需要为各个帐户分配最小权限。

应对Administrator帐户进行重命名,并禁用Guest(来宾)帐户。

要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。

设置口令的最长使用期限小于90天,并配置操作系统用户不能重复使用最近5次(含5次)已使用过的口令。

当用户连续认证失败次数为5次时,应锁定该帐户30分钟。

2.2.服务及授权安全应关闭不必要的服务。

应设置SNMP接受团体名称不为public或弱字符串。

确保系统时间与NTP服务器同步。

配置系统DNS指向企业内部DNS服务器。

2.3.补丁安全应确保操作系统版本更新至最新。

应在确保业务不受影响的情况下及时更新操作系统补丁。

2.4.日志审计应合理配置系统日志审核策略。

应设置日志存储规则,保证足够的日志存储空间。

更改日志默认存放路径,并定期对系统日志进行备份。

2.5.系统防火墙应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。

2.6.防病毒软件应安装由总部统一部署的防病毒软件,并及时更新。

2.7.关闭自动播放功能应关闭Windows自动播放功能。

2.8.共享文件夹应关闭Windows本地默认共享。

设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。

2.9.登录通信安全应禁止远程访问注册表路径和子路径。

设置远程登录帐户的登录超时时间为30分钟。

禁用匿名访问命名管道和共享。

1.帐户共用:每个用户应分配一个独立的系统帐户,不允许多个用户共享同一个帐户。

2.帐户锁定:过期或无用的帐户应该被删除或锁定。

3.超级管理员远程登录限制:应限制root帐户的远程登录。

4.帐户权限最小化:为每个帐户设置最小权限,以满足其实际需求。

5.口令长度及复杂度:操作系统帐户口令长度应至少为8位,且应包含数字、字母和特殊符号中的至少2种组合。

中间件安全基线配置标准

中间件安全基线配置标准

中间件weblogic安全基线配置标准目录第1章账号管理、认证授权 (3)1.1账号管理 (3)1.1.1系统启动账号 (3)1.1.2帐号锁定策略 (3)1.2口令 (4)1.2.1密码复杂度 (4)第2章日志配置操作 (4)2.1日志配置 (4)2.1.1审核登录 (4)第3章IP协议安全配置 (6)3.1IP 协议 (6)3.1.1支持加密协议 (6)3.1.2限制应用服务器Socket数量 (7)3.1.3禁用Send ServerHeader (7)第4章其他配置操作 (8)4.1登录安全管理 (8)4.1.1定时登出 (8)4.1.2更改默认端口 (8)4.1.3错误页面处理 (9)4.1.4目录列表访问限制 (9)第1章账号管理、认证授权1.1账号管理1.1.1系统启动账号1.1.2帐号锁定策略1.2 口令1.2.1密码复杂度第2章日志配置操作2.1日志配置2.1.1审核登录第3章IP协议安全配置3.1IP协议3.1.1支持加密协议3.1.2限制应用服务器Socket数量3.1.3禁用Send Server Header第4章其他配置操作4.1登录安全管理4.1.1定时登出4.1.2更改默认端口4.1.3错误页面处理4.1.4目录列表访问限制中间件tomcat安全基线配置标准第1章账号管理、认证授权 (12)1.1账号管理 (12)1.1.1共享帐号管理 (12)1.1.2无关帐号管理 (12)1.2口令 (13)1.2.1密码复杂度 (13)1.3授权 (13)1.3.1用户权利指派 (13)第2章日志配置操作 (14)2.1日志配置 (14)2.1.1审核登录 (14)第3章其他配置操作 (15)3.1访问权限 (15)3.1.1定时登出 (15)3.2防攻击管理 (15)3.2.1错误页面处理 (15)3.2.2目录列表访问限制 (16)3.2.3禁用危险HTTP方法 (17)11第1章账号管理、认证授权1.1账号管理1.1.1共享帐号管理1.1.2无关帐号管理121.2 口令1.2.1密码复杂度1.3授权1.3.1用户权利指派第2章日志配置操作2.1日志配置2.1.1审核登录第3章其他配置操作3.1访问权限3.1.1定时登出3.2防攻击管理3.2.1错误页面处理153.2.2目录列表访问限制3.2.3禁用危险HTTP方法17。

网络安全基线核查

网络安全基线核查

1.前言1.1.术语、定义(1)合规性(Compliance)企业或者组织为了履行遵守法律法规要求的承诺,建立、实施并保持一个或多个程序,以定期评价对适用法律法规的遵循情况的一项管理措施。

(2)资产(Asset)信息系统安全策略中所保护的信息或资源。

(3)计算机信息系统(Computer information system)由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

(4)保密性(Confidentiality)使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。

(5)安全服务(Security service)根据安全策略,为用户提供的某种安全功能及相关的保障。

2.服务概述2.1.服务概念基线核查服务是根据相关标准或规范,结合最佳实践,对客户的硬件资产(如:主机设备、网络设备、安全设备、办公终端等)和软件系统(如:操作系统、数据库、中间件和常用服务协议等)进行安全配置的核查,识别出现有安全配置与普适性规范或行业规范的安全配置要求之间的差距,并提供相关优化建议。

2.2.服务必要性基线核查是检验信息系统安全措施中的一种检查方式,信息系统拥有者往往需要在达到相对安全状态下所需要付出的成本与承受安全风险带来的损失之间寻找平衡。

而安全基线正是这个平衡的合理分界线。

基线核查服务,一方面可以根据基线核查的结果进行安全加固提升安全防护能力,减少信息系统的脆弱性,进而降低信息系统面临的安全风险;一方面可以满足合规性检查和国家政策要求。

2.3.服务收益通过以工具为主,人工为辅的方法,对客户的硬件资产和软件系统的安全策略配置进行科学、全面、认真地检查,输出专业的基线核查安全评估报告,通过该服务可以实现包括但不限于以下价值:●帮助客户充分掌握当前 IT 设备的配置情况,了解潜在的 IT 设备、系统的配置隐患和安全风险。

Windows操作系统安全防护基线配置要求

补充说明:
可能会使日志量猛增。
编号:OS-Windows-日志-03
要求内容:设置日志容量和覆盖规则,保证日志存储
操作指南:
开始-运行-eventvwr
右键选择日志,属性,根据实际需求设置;
日志文件大小:可根据需要制定。
超过上限时的处理方式(建议日志记录天数不小于90天)
检测方法:
开始-运行-eventvwr,右键选择日志,属性,查看日志上限及超过上线时的处理方式。
查看是否“从本地登陆此计算机”设置为“指定授权用户”
查看是否“从网络访问此计算机”设置为“指定授权用户”
判定条件:
“从本地登陆此计算机”设置为“指定授权用户”
“从网络访问此计算机”设置为“指定授权用户”
三、
编号:OS-Windows-口令-01
要求内容:密码长度最少8位,密码复杂度至少包含以下四种类别的字符中的三种:
英语大写字母A, B, C, … Z
英语小写字母a, b, c, … z
阿拉伯数字0, 1, 2, … 9
非字母数字字符,如标点符号,@, #, $, %, &, *等
操作指南:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”。
检测方法:
检测方法:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”;查看是否“从远端系统强制关机”设置为“只指派给Administrators组”。
判定条件:
“关闭系统”设置为“只指派给Administrators组”;

Tomcat系统安全配置基线

检查配置文件
查看tomcat/conf/文件
策略设置
备注
2.2.2
安全基线项目名称
权限最小化
安全基线项说明
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
检测操作步骤
1、参考配置操作
编辑tomcat/conf/配置文件,修改用户角色权限
授权tomcat具有远程管理权限:
<user username=”tomcat” password=”chinamobile”
2、补充操作说明
1、根据不同用户,取不同的名称。
基线符合性判定依据
询问管理员是否安装需求分配用户号
备注
2.1.2
安全基线项目名称
删除或锁定无效账号
安全基线项说明
删除或锁定无效的账号,减少系统安全隐患。
检测操作步骤
参考配置操作
修改tomcat/conf/配置文件,删除与工作无关的帐号。
例如tomcat1与运行、维护等工作无关,删除帐号:
Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt”
Pattern=”common” resloveHosts=”false”/>
2、补充操作说明
classname: This MUST be set to
Directory:日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专门放置日志文件的,也可以修改为其他路径;
业务测试正常
备注
第3章
3.1
安全基线项目名称
启用日志记录功能
安全基线项说明
应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。

IT系统安全基线规范-V3.0

中国x x公司I T技术规范IT系统安全基线规范中国xx公司信息技术部目录IT系统安全基线规范 (1)(V3.0) ........................................................ 错误!未定义书签。

1.范围 (6)2.术语、定义和缩略语 (6)3.总体说明 (6)3.1编写背景 (6)3.2安全基线制定的方法论 (7)4.安全基线范围及内容概述 (7)4.1覆盖范围及适用版本 (7)4.2安全基线编号说明 (8)4.3安全基线组织及内容 (8)5.WEB应用安全基线规范 (8)5.1身份与访问控制 (8)5.1.1账户锁定策略 (8)5.1.2登录用图片验证码 (9)5.1.3口令传输 (9)5.1.4保存登录功能 (9)5.1.5纵向访问控制 (10)5.1.6横向访问控制 (10)5.1.7敏感资源的访问 (10)5.2会话管理 (11)5.2.1会话超时 (11)5.2.2会话终止 (11)5.2.3会话标识 (11)5.2.4会话标识复用 (12)5.3代码质量 (12)5.3.1防范跨站脚本攻击 (12)5.3.2防范SQL注入攻击 (13)5.3.3防止路径遍历攻击 (13)5.3.4防止命令注入攻击 (13)5.3.5防止其他常见的注入攻击 (14)5.3.6防止下载敏感资源文件 (14)5.3.7防止上传后门脚本 (14)5.3.8保证多线程安全 (15)5.3.9保证释放资源 (15)5.4内容管理 (15)5.4.1加密存储敏感信息 (15)5.4.2避免泄露敏感技术细节 (16)5.5防钓鱼与防垃圾邮件 (16)5.5.1防钓鱼 (16)5.5.2防垃圾邮件 (16)5.6密码算法 (17)5.6.1安全算法 (17)5.6.2密钥管理 (17)6.中间件安全基线内容 (18)6.1A PACHE安全配置基线 (18)6.1.1日志配置 (18)6.1.2访问权限 (18)6.1.3防攻击管理 (19)6.2W EB S PHERE安全配置基线 (22)6.2.1帐号管理 (22)6.2.2认证授权 (23)6.2.3日志配置 (24)6.2.4备份容错 (24)6.2.5安全管理 (25)6.3T OMCAT W EB安全配置基线 (27)6.3.1账号管理 (27)6.3.2口令安全 (28)6.3.3日志配置 (29)6.3.4安全管理 (30)6.4IIS服务安全配置基线 (32)6.4.1账号管理 (32)6.4.2口令安全 (33)6.4.3认证授权 (35)6.4.4日志配置 (36)6.4.5IP协议安全 (37)6.4.6屏幕保护 (39)6.4.7文件系统及访问权限 (40)6.4.8补丁管理 (44)6.4.9IIS服务组件 (45)6.5W EB L OGIC W EB服务安全配置基线 (46)6.5.1账号管理 (46)6.5.2口令安全 (47)6.5.3日志配置 (48)6.5.4IP协议安全配置 (48)6.5.5安全管理 (50)7.数据库安全基线内容 (51)7.1DB2数据库安全配置基线 (51)7.1.1数据库权限 (51)7.2SQLS ERVER数据库安全配置基线 (54)7.2.1口令安全 (54)7.2.2日志配置 (54)7.2.3更新补丁 (55)7.3O RACLE数据库系统安全配置基线 (56)7.3.1账号管理 (56)7.3.2口令安全 (56)8.主机安全基线内容 (59)8.1AIX安全配置基线 (59)8.1.1账号管理 (59)8.1.2口令安全 (60)8.1.3IP协议安全 (61)8.1.4日志配置 (62)8.2HP-U NIX安全配置基线 (62)8.2.1账号管理 (62)8.2.2口令安全 (63)8.2.3日志配置 (65)8.2.4IP协议安全 (65)8.2.5其他安全配置 (66)8.3L INUX安全配置基线 (66)8.3.1账号管理 (66)8.3.2认证授权 (67)8.3.3日志配置 (68)8.4W INDOWS安全配置基线 (68)8.4.1账号管理 (68)8.4.2口令安全 (69)8.4.3认证授权 (70)8.4.4日志配置 (71)8.4.5IP协议安全 (74)8.4.6其他安全配置 (75)8.5S OLARIS安全配置基线 (76)8.5.1账号管理 (76)8.5.2口令安全 (77)8.5.3认证授权 (78)8.5.4日志配置 (79)8.5.5IP协议安全 (80)9.设备安全基线内容 (81)9.1C ISCO路由安全配置基线 (81)9.1.1账号管理 (81)9.1.2口令安全 (82)9.1.4日志配置 (84)9.1.5IP协议安全 (86)9.1.6功能配置 (87)9.1.7其他安全配置 (89)9.2H UAWEI路由安全配置基线 (91)9.2.1账号管理 (91)9.2.2口令安全 (92)9.2.3日志配置 (94)9.2.4IP协议安全 (95)9.2.5其他安全配置 (96)9.3J UNIPER路由安全配置基线 (98)9.3.1账号管理 (98)9.3.2口令安全 (100)9.3.3日志配置 (102)9.3.4IP协议安全 (105)9.3.5其他安全配置 (109)10.安全基线使用要求 (113)11.文档修订记录 (113)1.范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

Tomcat系统安全配置基线

tomcat:具有读和运行权限;
admin:具有读、运行和写权限;
manager:具有远程管理权限。
Tomcat 6.0.18版本只有admin和manager两种用户角色,且admin用户具有manager管理权限。
2、Tomcat 4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。
Tomcat系统安全配置(pèizhì)基线
第1章
1.1
本文(běnwén)规定了Tomcat系统(xìtǒng)应当遵循的操作安全性设置标准,本文档旨在(zhǐ zài)指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。
1.2
本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。
2、补充操作说明
classname: This MUST be set to
org.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60
Directory:日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专门放置日志文件的,也可以修改为其他路径;
2、检测操作
登陆tomcat默认页面http://ip:8080/manager/html,使用管理账号登陆
基线符合性判定依据
查看配置文件策略配置
业务测试正常
备注
第3章
3.1
安全基线项目名称
启用日志记录功能
安全基线项说明
应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。

安全基线检查及部分中间件部署规范

安全基线检查及部分中间件部署规范@author: jerrybird,JC0o0l@wechat: JC_SecNotes@wechat: JC0o0l@GitHub: /chroblert/assetmanage这篇⽂章是之前做基线检查⼯具参考的⼀些规范,⼤家可以通过下⾯的链接下载pdf⽂档:链接:https:///s/1z_m0HpAWSgRYahbsI5DeAg提取码:i4ft(⼀) Centos7安全基线0x01 初始设置1. ⽂件系统配置:2. 安全启动设置:3. 强制访问控制:0x02 服务配置1. 时间同步设置:0x03 ⽹络配置1. hosts设置:2. 防⽕墙配置0x04 审计设置1. 审计配置⽂件的设置2. 审计规则⽂件的设置0x05 ⽇志设置0x06 认证授权1. 配置cron:2. 配置SSH:3. 配置PAM:4. ⽤户账户和环境设置:0x07 系统维护1. 重要⽂件权限:2. ⽤户和组设置:(⼆) Windows2012安全基线0x01 账户策略0x02 审计策略0x03 ⽤户权限分配0x04 安全选项0x05 端⼝安全0x06 系统安全(三) MSSQL2016部署规范0x01安装更新和补丁0x02 减少受攻击⾯0x03 认证和授权0x04 密码策略0x05 审计和⽇志0x06 加密0x07 扩展存储(四) MySQL5.6部署规范0x01 操作系统级别配置0x02 安装和计划任务0x03 权限设置0x04 常规设置0x05 MySQL权限0x06 审计和⽇志0x07 ⾝份认证(五) 中间件部署规范0x01 Nginx安全部署规范1. 隐藏版本号2. 开启HTTPS3. 限制请求⽅法4. 拒绝某些User-Agent5. 利⽤referer图⽚防盗链6. 控制并发连接数7. 设置缓冲区⼤⼩防⽌缓冲区溢出攻击8. 添加Header头防⽌XSS攻击9. 添加其他Header头0x02 Tomcat安全部署规范1. 更改Server Header2. 保护telnet管理端⼝3. 保护AJP连接端⼝4. 删除默认⽂档和⽰例程序5. 隐藏版本信息(需要解jar包)6. 专职低权限⽤户启动tomcat7. ⽂件列表访问控制8. 脚本权限回收0x03 Apache安全部署规范1. 专职低权限⽤户运⾏Apache服务2. ⽬录访问权限设置3. ⽇志设置4. 只允许访问web⽬录下的⽂件5. 禁⽌列出⽬录6. 防范拒绝服务7. 隐藏版本号8. 关闭TRACE功能9. 绑定监听地址10. 删除默认安装的⽆⽤⽂件11. 限定可以使⽤的HTTP⽅法0x04 IIS安全部署规范1. 限制⽬录的执⾏权限2. 开启⽇志记录功能3. ⾃定义错误页⾯4. 关闭⽬录浏览功能5. 停⽤或删除默认站点6. 删除不必要的脚本映射7. 专职低权限⽤户运⾏⽹站8. 在独⽴的应⽤程序池中运⾏⽹站0x05 Redis安全部署规范1.专职低权限⽤户启动redis2. 限制redis配置⽂件的访问权限3. 更改默认端⼝4. 开启redis密码认证5. 禁⽤或者重命名危险命令6. 禁⽌监听在公⽹IP7. 开启保护模式0x06 RabbitMQ 规范1. 专职低权限⽤户启动RabbitMQ2.配置SSL证书3. 开启HTTP后台认证4. 删除或修改默认的guest⽤户和密码5. RabbitMQ的web ui插件存在⼀些安全漏洞(⼀) Centos7安全基线0x01 初始设置1. ⽂件系统配置:1.1 将/tmp挂载⾄⼀个单独的分区1.2 /tmp挂载时指定noexec:不允许运⾏可执⾏⽂件该选项使得/tmp⽬录下的⼆进制⽂件不可被执⾏1.3 /tmp挂载时指定nosuid该选项使得/tmp⽬录下的⽂件或⽬录不可设置Set-UID和Set-GID标志位,能够防⽌提权。

安全运维配置基线检查


访问控制列表(ACL)
根据业务需求,合理配置文件和目录的访问控 制列表,限制用户对系统资源的访问。
远程访问控制
对于远程访问,应采用加密协议(如SSH),并限制远程登录的权限和时间。
安全审计与日志管理
审计策略配置
启用操作系统的审计功能,记录用户登录、操作等关 键事件,以便后续分析和追溯。
日志保存与备份
网络访问控制
限制数据库的网络访问,只允许必要 的IP地址和端口进行连接,防止未经
授权的远程访问。
数据库安全审计与日志管理
审计策略配置
启用数据库审计功能,记录所有对数据库的访问和 操作,以便后续分析和追溯。
日志保留与备份
定期备份和保留数据库日志,确保日志的完整性和 可恢复性。
日志分析与告警
对数据库日志进行分析,及时发现异常行为和潜在 威胁,并触发告警通知相关人员。
设备备份与恢复
定期对网络设备进行备份,确保在设备故障或数据丢失时能够及时恢 复。
07
应用系统安全配置基线检查
应用系统身份鉴别与访问控制
身份鉴别机制
应用系统应具备完善的身份鉴别机制,包括用户名/密码、数字证书、动态口令等多种 鉴别方式,确保用户身份的真实性和合法性。
访问控制策略
根据用户角色和权限,实施严格的访问控制策略,防止未经授权的访问和操作,确保应 用系统的安全性和数据的保密性。
02
03
安全漏洞管理
及时关注操作系统厂商发布的安全漏 洞信息,对存在漏洞的系统进行修补 和升级。
05
数据库安全配置基线检查
数据库访问控制
访问权限管理
确保只有授权用户能够访问数据库, 采用最小权限原则,避免权限滥用。
身份验证机制
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
查看配置文件策略配置
业务测试正常
备注
第3章
3.1
安全基线项目名称
启用日志记录功能
安全基线项说明
应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。
检测操作步骤
1、参考配置操作
编辑配置文件,在<HOST>标签中增加记录日志功能
将以下内容的注释标记<!---->取消
备注
4.1.5
安全基线项目名称
补丁安装
安全基线项说明
安装新版本,修补漏洞
检测操作步骤
在下载最新版Tomcat安装
基线符合性判定依据
进入Tomcat_home\logs,打开一个日志文件,例如:,可以找到版本信息
2009-6-158:00:48start
信息:StartingServletEngine:ApacheTomcat
<valve
Directory=”logs”prefix=”localhost_access_log.”Suffix=”.txt”
Pattern=”common”resloveHosts=”false”/>
2、补充操作说明
classname:ThisMUSTbesetto
tousethedefaultaccesslogvalve.&<60
roles=”admin,manager”>
2、补充操作说明
1、和版本用户角色分为:role1,tomcat,admin,manager四种。
role1:具有读权限;
tomcat:具有读和运行权限;
admin:具有读、运行和写权限;
manager:具有远程管理权限。
Tomcat
2、Tomcat
基线符合性判定依据
基线符合性判定依据
1、判定条件
查看tomcat/conf/
2、检测操作
,使用管理账号登陆
备注
4.1.2
安全基线项目名称
自定义错误信息
安全基线项说明
自定义Tomcat返回的错误信息
检测操作步骤
修改Tomcat_home\webapps\APP_NAME\WEB-INF\
在最后</web-app>一行之前加入以下内容
例如tomcat1与运行、维护等工作无关,删除帐号:
<userusername=”tomcat1”password=”tomcat”roles=”admin”>
基线符合性判定依据
查看配置文件
备注
2.2
2.2.1
安全基线项目名称
密码复杂度
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少12位,包括数字、小写字母、大写字母和特殊符号4类中至少2类。
(1)表示出现404未找到网页的错误时显示页面
<error-page>
<error-code>404</error-code>
<location>/</location>
</error-page>
(2)表示错误时显示页面
<error-page>
<location>/</location>
</error-page>
检查配置文件
查看tomcat/conf/文件
策略设置
备注
2.2.2
安全基线项目名称
权限最小化
安全基线项说明
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
检测操作步骤
1、参考配置操作
编辑tomcat/conf/配置文件,修改用户角色权限
授权tomcat具有远程管理权限:
<userusername=”tomcat”password=”chinamobile”
Tomcat系统安全配置基线
Tomcat系统安全配置基线
第1章
1.1
本文规定了Tomcat系统应当遵循的操作安全性设置标准,本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。
1.2
本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。
本配置标准适用的范围包括:Tomcat系统。
2、补充操作说明
1、根据不同用户,取不同的名称。
2、Tomcat
基线符合性判定依据
询问管理员是否安装需求分配用户号
备注
2.1.2
安全基线项目名称
删除或锁定无效账号
安全基线项说明
删除或锁定无效的账号,减少系统安全隐患。
检测操作步骤
参考配置操作
修改tomcat/conf/配置文件,删除与工作无关的帐号。
minSpareThreads="25"maxSpareThreads="75"、
enableLookups="false"redirectPort="8443"acceptCount="100"
connectionTimeout="300"disableUploadTimeout="true"/>
1.3
适用于Tomcat。
第2章
2.1
2.1.1
安全基线项目名称
为不同的管理员分配不同的号
安全基线项说明
应按照用户分配账号,避免不同用户间共享账号,提高安全性。
检测操作步骤
1、参考配置操作
修改tomcat/conf/配置文件,修改或添加帐号。
<userusername=”tomcat”password=”Tomcat!234”roles=”admin”>
基线符合性判定依据
查看Tomcat_home\webapps\APP_NAME\WEB-INF\中<error-page></error-page>部分的设置
备注
4.1.3
安全基线项目名称
对敏感目录的访问IP或主机名进行限制
安全基线项说明
对敏感目录的访问IP或主机名进行限制
检测操作步骤
修改Tomcat_home\conf\Catalina\localhost\,在Context标签中加入
<Valve
/>
或者
<Valve
allow="*."/>
基线符合性判定依据
打开Tomcat_home\conf\Catalina\localhost\
查看是否设置有IP或主机名限制
备注
4.1.4
安全基线项目名称
禁止目录遍历
安全基线项说明
防止直接访问目录时由于找不到默认主页而列出目录下文件
检测操作步骤
登录超时
安全基线项说明
对于具备字符交互界面的设备,应支持定时账户自动登出。登出后用户需再次登录才能进入系统。
检测操作步骤
参考配置操作
编辑tomcat/conf/配置文件,修改为30秒
<Connector
port="8080"maxHttpHeaderSize="8192"maxThreads="150"
检测操作步骤
1、参考配置操作
在tomcat/conf/配置文件中设置密码
<userusername=”tomcat”password=”Tomcat!234”roles=”admin”>
2、补充操作说明
口令要求:长度至少12位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
基线符合性判定依据
在漏洞库中查询此版本存在的漏洞
备注
第5章
本文件由XXX定期进行审查,根据审查结果修订标准,并重新颁发执行。
Directory:日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专门放置日志文件的,也可以修改为其他路径;
Prefix:这个是日志文件的名称前缀,日志名称为,前面的前缀就是这个
基线符合性判定依据
判定条件
登录测试,检查相关信息是否被记录
查看文件
备注
第4章
4.1.1
安全基线项目名称
打开Tomcat_home\conf\,查看listings是否设置为false
<init-pt;listings</param-name>
<param-value>false</param-value>
</init-param>
基线符合性判定依据
检查Tomcat_home\conf\配置文件中listings的值为false