下载文档原格式
Tomcat中间件安全配置基线加固操作指导书
佛山供电局信息中心
2014年4月
目录
1.1 Tomcat安全基线要求 (3)
1.1.1 对登录Tomcat的用户进行身份鉴别 (3)
1.1.2 限制管理中间件用户权限 (3)
1.1.3 修改默认口令 (4)
1.1.4 访问日志审计功能 (4)
1.1.5 保护日志审计 (5)
1.1.6 限制超时连接 (5)
1.1.7 修改SHUTDOWN字符串 (5)
1.1.8 禁止目录遍历操作 (6)
1.1.9 防止版本信息泄漏 (6)
1.1.10 自定义错误信息 (7)
1.1 Tomcat安全基线要求
1.1.1 对登录Tomcat的用户进行身份鉴别
1.1.2 限制管理中间件用户权限
1.1.3 修改默认口令
1.1.4 访问日志审计功能
1.1.5 保护日志审计
1.1.6 限制超时连接
1.1.7 修改SHUTDOWN字符串
1.1.8 禁止目录遍历操作
1.1.9 防止版本信息泄漏
1.1.10 自定义错误信息。
Tomcat安装及配置教程Tomcat安装及配置教程Tomcat 服务器是⼀个免费的开放源代码的Web 应⽤服务器,属于轻量级应⽤服务器,在中⼩型系统和并发访问⽤户不是很多的场合下被普遍使⽤,是开发和调试JSP 程序的⾸选。
今天就在这⾥教⼤家如何进⾏安装以及配置。
操作⽅法01⾸先第⼀步,进⼊官⽹进⾏下载,选择Download下你要安装的版本进⾏下载。
02此次下载的是windows安装版,直接点击即可安装,但在安装前必须要进⾏环境设置——>设置Tomcat运⾏时依赖的SDK。
设置⽅法:选择我的电脑->属性->⾼级系统设置->环境变量->⽤户变量下选择"新建" 如下图所⽰:其中变量值为:SDK的安装路径。
03之后便是安装过程。
选择“Next”。
04选择“I Agree”。
05此处只选择设置User Name和Password其它选项选择默认值。
06选择你电脑上已安装的jre路径。
07选择“Tomcat”的安装路径。
08这⾥我们先取消上⾯两个选项,单击“Finish”完成安装。
09Tomcat 的主⽬录⽂件详解:Tomcat的主⽬录⽂件夹有以下⼏个:1. bin:⽤于存放启动和关闭tomcat的可执⾏⽂件。
2. lib:⾥⾯存放需要的jar包。
3. conf:tomcat的各种配置⽂件,tomcat启动时需要读取的配置⽂件主要有:server.xml,web.xml,tomcat-users.xml等等。
服务器的修改都要从此⽬录中进⾏。
4. logs:⽇志⽂件,如果服务器出现错误,会⾃动记录。
5. server:服务器的管理程序。
6. webapps:所有的可执⾏的web项⽬都会放到此⽬录中。
7. work:tomcat把各种由jsp⽣成的servlet都放在了这个⽂件夹下,⾥⾯包含.java⽂件和.class⽂件。
10启动Tomcat启动Tomcat我们可以直接运⾏bin⽬录下的 Tomcat6.exe 可执⾏⽂件如出现下⾯的效果则说明Tomcat启动成功了。
TongWeb服务器安全配置基线页脚内容1备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
页脚内容2目录第1章...................................................................................................... 概述01.1 .............................................................................................................. 目的1.2 ..................................................................................................... 适用范围1.3 ..................................................................................................... 适用版本1.4 ............................................................................................................. 实施1.5 ..................................................................................................... 例外条款第2章 ........................................................................... 账号管理、认证授权02.1 ............................................................................................................. 帐号2.1.1 ....................................................................................... 应用帐号分配2.1.2 ....................................................................................... 用户口令设置页脚内容22.1.3 ....................................................................................... 用户帐号删除42.2 ..................................................................................................... 认证授权52.2.1 ........................................................................................... 控制台安全5第3章 ...................................................................................... 日志配置操作83.1 ..................................................................................................... 日志配置83.1.1 ........................................................................................... 日志与记录8第4章 ............................................................................................. 备份容错114.1 ..................................................................................................... 备份容错11第5章 .................................................................................. IP协议安全配置135.1 ......................................................................................... IP通信安全协议页脚内容I13第6章 ............................................................................... 设备其他配置操作166.1 ..................................................................................................... 安全管理166.1.1 ................................................................................ 禁止应用程序可显166.1.2 ............................................................................................. 端口设置*186.1.3 ....................................................................................... 错误页面处理19第7章 .......................................................................................... 评审与修订22页脚内容II第1章概述1.1目的本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。
终端安全配置基线名词解释
安全配置基线是操作系统,DB,中间件,网络设备(交换机,路由器,防火墙),终端PC设备上设置的基本配置项。
除了软件系统最基本最重要的安全配置,还需要符合国家信息安全政策法规及监管要求。
人行,四部委,国家标准化管理委员会,质量监督检验检疫总局等都发布过相关指引文件。
一般都要新建基线,然后持续维护修订。
系统复杂的,基线规范和手册需要进行分离编写。
规范类似宪法,手册类似各种普通法律法规。
规范指导手册。
里面应该明确每年什么时间,对什么配置进行哪些项目的检查。
上线前后,开发环境,生产环境都需要按照基线规范进行检查。
比如中间件:Apache,Tomcat,Nginx,Weblogic,IBM MQ,Tuexdo,Kafka 等需要确认日志配置(符合监管,设置日志门卫,不能所有信息都打出来),账号口令设置定期修改策略,账号登录系统多久超时强制下线,端口设置,目录权限(主目录一般小于775),配置文件权限(一般小于775)。
安全基线配置检查随着互联网的普及和网络攻击的日益频繁,确保系统和网络的安全性成为了企业和个人必须要关注和重视的问题。
而安全基线配置检查则是一种有效的手段,可以帮助我们评估系统和网络的安全性,并采取相应的措施来提高安全性。
安全基线配置检查是指对系统和网络的各项配置进行检查和评估,以确定是否符合安全基线的要求。
安全基线是指根据安全标准和最佳实践所制定的一系列安全配置要求。
通过对系统和网络的配置进行检查,可以发现潜在的安全风险和漏洞,并及时采取措施进行修复,以保护系统和网络的安全。
安全基线配置检查主要包括以下几个方面:1. 操作系统配置检查:检查操作系统的配置是否符合安全要求,包括密码策略、访问控制、日志记录等方面。
例如,密码策略要求密码的复杂度较高,用户锁定策略设置合理,日志记录开启并定期审计等。
2. 网络设备配置检查:检查网络设备的配置是否符合安全要求,包括防火墙、路由器、交换机等设备。
例如,防火墙的配置是否严格,路由器的访问控制列表是否设置合理等。
3. 应用程序配置检查:检查应用程序的配置是否符合安全要求,包括数据库、Web服务器、邮件服务器等应用程序。
例如,数据库的访问权限是否受限,Web服务器的安全设置是否完善等。
4. 安全补丁和更新检查:检查系统和应用程序是否安装了最新的安全补丁和更新,以修复已知的安全漏洞。
及时安装安全补丁和更新可以有效防止黑客利用已知漏洞进行攻击。
5. 安全策略和权限检查:检查系统和网络的安全策略和权限设置是否合理。
例如,用户的权限是否严格控制,敏感数据的访问权限是否受限等。
通过安全基线配置检查,可以及时发现系统和网络的安全隐患,并采取相应的措施来提高安全性。
但是,在进行安全基线配置检查时,也需要注意以下几个问题:1. 安全配置不是唯一的:安全配置并没有统一的标准,不同的安全标准和最佳实践可能会有所不同。
因此,在进行安全基线配置检查时,需要根据企业或个人的实际情况来确定安全配置的要求。
操作系统安全基线配置要求为不同用户分配独立的帐户,不允许多个用户共享同一帐户。
应删除或锁定过期或无用的帐户。
只允许指定授权帐户对主机进行远程访问。
应根据实际需要为各个帐户分配最小权限。
应对Administrator帐户进行重命名,并禁用Guest(来宾)帐户。
要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
设置口令的最长使用期限小于90天,并配置操作系统用户不能重复使用最近5次(含5次)已使用过的口令。
当用户连续认证失败次数为5次时,应锁定该帐户30分钟。
2.2.服务及授权安全应关闭不必要的服务。
应设置SNMP接受团体名称不为public或弱字符串。
确保系统时间与NTP服务器同步。
配置系统DNS指向企业内部DNS服务器。
2.3.补丁安全应确保操作系统版本更新至最新。
应在确保业务不受影响的情况下及时更新操作系统补丁。
2.4.日志审计应合理配置系统日志审核策略。
应设置日志存储规则,保证足够的日志存储空间。
更改日志默认存放路径,并定期对系统日志进行备份。
2.5.系统防火墙应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
2.6.防病毒软件应安装由总部统一部署的防病毒软件,并及时更新。
2.7.关闭自动播放功能应关闭Windows自动播放功能。
2.8.共享文件夹应关闭Windows本地默认共享。
设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。
2.9.登录通信安全应禁止远程访问注册表路径和子路径。
设置远程登录帐户的登录超时时间为30分钟。
禁用匿名访问命名管道和共享。
1.帐户共用:每个用户应分配一个独立的系统帐户,不允许多个用户共享同一个帐户。
2.帐户锁定:过期或无用的帐户应该被删除或锁定。
3.超级管理员远程登录限制:应限制root帐户的远程登录。
4.帐户权限最小化:为每个帐户设置最小权限,以满足其实际需求。
5.口令长度及复杂度:操作系统帐户口令长度应至少为8位,且应包含数字、字母和特殊符号中的至少2种组合。
安全基线配置检查安全基线配置检查是一种常见的安全检查方法,它可以帮助企业和组织确保其计算机系统的安全性。
安全基线配置检查是通过检查计算机系统的配置文件和设置来确定系统是否符合安全标准。
在本文中,我们将探讨安全基线配置检查的重要性、实施步骤以及如何解决常见问题。
安全基线配置检查的重要性安全基线配置检查是确保计算机系统安全的关键步骤之一。
通过检查计算机系统的配置文件和设置,可以确定系统是否符合安全标准。
这些标准通常是由行业组织、政府机构或安全专家制定的。
如果计算机系统不符合这些标准,那么它就容易受到攻击,从而导致数据泄露、系统崩溃或其他安全问题。
实施步骤安全基线配置检查通常包括以下步骤:1. 确定安全标准:首先,需要确定适用于计算机系统的安全标准。
这些标准通常是由行业组织、政府机构或安全专家制定的。
2. 收集配置信息:然后,需要收集计算机系统的配置信息。
这些信息包括操作系统、应用程序、网络设置等。
3. 比较配置信息:将收集的配置信息与安全标准进行比较,以确定系统是否符合标准。
4. 发现问题:如果系统不符合标准,则需要发现问题并记录下来。
5. 解决问题:最后,需要解决发现的问题,以确保计算机系统符合安全标准。
常见问题及解决方法在进行安全基线配置检查时,可能会遇到以下常见问题:1. 配置信息不完整:如果收集的配置信息不完整,则可能会导致无法确定系统是否符合安全标准。
解决方法是确保收集的配置信息完整。
2. 标准不明确:如果安全标准不明确,则可能会导致无法确定系统是否符合标准。
解决方法是确保使用的安全标准明确。
3. 问题解决困难:如果发现的问题难以解决,则可能需要寻求专业帮助。
解决方法是寻求专业帮助。
总结安全基线配置检查是确保计算机系统安全的关键步骤之一。
通过检查计算机系统的配置文件和设置,可以确定系统是否符合安全标准。
在实施安全基线配置检查时,需要确定适用于计算机系统的安全标准、收集配置信息、比较配置信息、发现问题并解决问题。
1.前言1.1.术语、定义(1)合规性(Compliance)企业或者组织为了履行遵守法律法规要求的承诺,建立、实施并保持一个或多个程序,以定期评价对适用法律法规的遵循情况的一项管理措施。
(2)资产(Asset)信息系统安全策略中所保护的信息或资源。
(3)计算机信息系统(Computer information system)由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
(4)保密性(Confidentiality)使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。
(5)安全服务(Security service)根据安全策略,为用户提供的某种安全功能及相关的保障。
2.服务概述2.1.服务概念基线核查服务是根据相关标准或规范,结合最佳实践,对客户的硬件资产(如:主机设备、网络设备、安全设备、办公终端等)和软件系统(如:操作系统、数据库、中间件和常用服务协议等)进行安全配置的核查,识别出现有安全配置与普适性规范或行业规范的安全配置要求之间的差距,并提供相关优化建议。
2.2.服务必要性基线核查是检验信息系统安全措施中的一种检查方式,信息系统拥有者往往需要在达到相对安全状态下所需要付出的成本与承受安全风险带来的损失之间寻找平衡。
而安全基线正是这个平衡的合理分界线。
基线核查服务,一方面可以根据基线核查的结果进行安全加固提升安全防护能力,减少信息系统的脆弱性,进而降低信息系统面临的安全风险;一方面可以满足合规性检查和国家政策要求。
2.3.服务收益通过以工具为主,人工为辅的方法,对客户的硬件资产和软件系统的安全策略配置进行科学、全面、认真地检查,输出专业的基线核查安全评估报告,通过该服务可以实现包括但不限于以下价值:●帮助客户充分掌握当前 IT 设备的配置情况,了解潜在的 IT 设备、系统的配置隐患和安全风险。
