Tomcat安全補強仕様

文書ディレクトリ

1略語

2安全配置要求

3.1アカウント

3.2パスワード

3.3ライセンス

3.4ログ

3.5 HTTP暗号化プロトコル

しない

3.6デフォルト管理ポート

を変更

3.7エラーページリダイレクト

3.8ディレクトリには

がリストされています.

3.9システムBanner情報

3.10接続数設定

3.11不正HTTPを無効にする方法

yum install tomcat-webapps tomcat-admin-webapps#このコマンドでtomcatをダウンロード
1略語
HTTP HyperText Transfer Protocolハイパーテキスト転送プロトコル
2セキュリティ構成要件

3.1アカウント
番号:1要求内容はユーザーに従ってアカウントを割り当てる.異なるユーザー間でアカウントを共有することを避ける.操作ガイド1、構成操作修正/etc/tomcat/tomcat-usersを参照.xmlプロファイル、アカウントの変更または追加.

ユーザー名はadmin、パスワードはadminログインです.2、補足操作説明1、異なるユーザーによって、異なる名称を取る.2、Tomcatは5.5以降のバージョンからadminがデフォルトで存在しない.xmlプロファイル.検出方法1、判定条件各アカウントがTomcat Webサーバに登録可能であること2、検出操作アクセスhttp://ip:8080/manager/html管理ページ、Tomcatサーバー管理番号:2内容は設備の運行、メンテナンスなどの仕事と関係のないアカウントを削除またはロックすることを要求する.操作ガイド1、構成操作を参照してtomcat/conf/tomcat-usersを修正する.xmlプロファイルで、作業に関係のないアカウントを削除します.たとえばdomcatは、実行、メンテナンスなどの作業に関係なくdomcatlアカウントを削除します.検出方法1、判定条件が削除された仕事に関係のないアカウントtomcatlが正常にログインできない.2、検査操作アクセスhttp://ip:8080/manager/htmlページを管理し、削除アカウントを使用してログイン試行を行います.番号:3スーパーユーザーがtomcat操作ガイド1を有効にすることを無効にすること、参照構成操作が一般ユーザーのモードでtomcatの起動スクリプト検出方法1、判定条件2、検出操作を実行して現在のシステムのtomcatプロセスを表示し、プログラムの起動時に使用するアイデンティティを確認することを要求する.
3.2パスワード
静的パスワード認証技術を用いた装置では、パスワード長は少なくとも8ビットであり、数字、小文字、大文字、特殊記号の4種類のうち少なくとも3種類を含むことが要求される.操作ガイド1、参照構成操作はtomcat/conf/tomcat-user.xmlプロファイルでパスワードを設定する

2、補足操作説明パスワード要求;長さは少なくとも8ビットであり、数字、小文字、大文字、特殊記号の4種類のうち少なくとも3種類を含む.1、判定条件検査tomcat/conf/tomcal-user.xmlプロファイルのアカウントパスワードが構成パスワードの複雑さの要件を満たしているかどうか.2、検査操作(1)手動でプロファイルのアカウントパスワードが合っているかどうかを検査する:(2)tomcat弱パスワードスキャンツールを使用して定期的にTomcat Webサーバに対して遠隔スキャンを行い、弱パスワードアカウントがあるかどうかを検査する.3、補足説明弱いパスワードスキャンツールを使用して検査を行う時、スキャンのスレッド数に注意し、サーバーに不要な資源消費をもたらすことを避け、サーバー負荷の低い時間帯にスキャン検査を行うことを選択する.
3.3授権
番号l:コンテンツは、デバイス権限構成能力内で、ユーザのビジネスニーズに応じて、必要な最小権限を構成することが要求される.操作ガイド1、構成操作参照somcat/conf/tomcat-userを編集する.xmlプロファイル、ユーザーロール権限の変更somcatリモート管理権限:2、補足操作説明Tomcatユーザーロール:rolel、tomcat、admin、managerの4種類に分けられます.

rolel：     ；
tamcat：        ；
admin：   、      ：
manager：        。

注意:Tamcat 6.0.18バージョンはadminとmanagerの2つのユーザーロールしかなく、II 1 adminユーザーはmanager管理権限を持ち、検出方法1、判定条件はリモート管理ページにログインし、tomcatアカウントを使用してログインし、ログインに成功した.2、検査操作登録http://ip:8080/manager/htmlページは、tomcatアカウントを使用してログインし、輸送管理を行います.番号:2要求内容:manager機能操作マニュアル1を無効にし、以下の月録C A T A L I N A H O M E/s e r v e r/w e b a p s/m a n a g e rを構成操作を参照して、非CATALINA_に除去するHOME/server/webapps/manager、非CATALINAH OME/server/webapps/manager、非CATALINA_に除去HOME/server/webuppsディレクトリで、mvでローカルに移動して検出方法1、判定条件2、検出操作SCATALINA_を改名HOME/scrverwebapps/managerが存在するか
3.4ログ
番号:1コンテンツデバイスはログ機能を配置し、ユーザーのログインを記録することを要求し、記録内容はユーザーのログイン使用の乗数、ログインが成功したかどうか、ログイン時間、およびリモートログイン時、ユーザーが使用するIPアドレスを含む.操作ガイド1、参照割当操作serverを編集する.xmlプロファイル、ラベルにレコードログ機能を追加して、次の内容のコメントタグをキャンセルします.

 Pattern=”common”resloveHosts=”false”/>
      1、    
 2、    
 3、    
   server.xml    ，    ，          
      
  Directory=”logs”prefix=”localhost_access_log.”Suffix=”.txt”
 Pattern=”common”resloveHosts=”false”/> 
  
3.5 HTTP        
 
  
         HTTP            ，       HTTPS  
     。
      1、      
 (1)  JDK    kcy1aol         
 JAVA_HOME/bin/keytool -genkey-alias tomcat -keyalg RSA
 -keystore /path/to/my/keystore
 （2）  tomcat/conf/server.xml    ，     https  ，    ：
 Connector classname=”org.apache.catalina.http.HttpConnector”
 port=”8443” minProcessors=”5” maxprocessors=”100”
 enableLookups=”true” acceptCount="10”debug=”0”
 scheme=”https” secure=”true”>
 Factoryclassname=”org.apache.catalina.SSLServerSocketFactory”
 clientAuth="false”
 keystoreFile=”/path/to/my/keystore” keystorePass=”runwayl@”
 protocol=”TLS”>
 /Connector>
    keystorePass       keystore      
 (3)     tomcat   
      1、    
    https      tomcat      ，    
 2、    
    https    tomcat        
 
  
3.6         
 
  
       HTTP     ，  tomcat        
      1、      
 （1）  domcavconfkserver.xml     ，         xx
  port="xx”maxHttpHeaderSize=“8192” maxThreads=“150”
 minSpareThreads=“25” maxSpareThreads=“75”、
 enableLookups=“false” redirectPort=“8443” acceptCount=“100”
 connectionTimeout=“300” disableUploadTimeout=“true” />
 
 （2）   tomcat   
 2、      
      1、    
    xx        
 2、    
    http://ip:xx
 3、    
 
  
3.7        
 
  
     Tomcat        
      1、      
 (1)  tomca/conf/web.xml  ：
     -         ：
 
  

404
noFile.htm

.....................

java.lang.NullPointerExceptian
/ error.jsp

  
の 1の の  は、404がjspページを つけることができなかったエラーをnoFileに くことを  する.htmページは、  の  で403500などの のエラーコードガイドページを  することもできる.403500などのガイドページがある.2つ の の  は、jspページからjavaが る  に  される.langNullPointeExceptionパイロットの  、errorjspの  エラーページに  する、また、 1のjspページに  のような   なerrorを える  がある.jspエラーページのプログラム き は  の りです:p-ctエラーページエラー:エラー  :
Stack Trace is: 
 NullPointesException  が  した  、kamcatはウェブページをemorjspにインポートし、エラーメッセージが  されます.(2)tomcatサービスの   (3)エラーページが きすぎないようにする    1、      エラーページ2、    URLアドレスバーに  http://ip8800/manager12345 
3.8  リスト
    omatリスト  ファイル  ガイド1、      (1)tamcatkon/webの  を  する.xmlプロファイル、

listings
true

  
trueをfalse (2)に  するtamcztサービス    1を   し、    WEB  にindexのようなデフォルトトップページがない.html、indexjspなどのファイルの  、ディレクトリの  2、    の     はリストされませんhtp://ip:8800/webadd 
3.9システムBanner  
      システムBanner    ガイド1、        catalina.    propertiesの のパラメータ(  のバージョン  を すために  されます).
serverbuili-
server.number-X
  
    1、    2、      catalina.JArのサーバinfo.properticsのパラメータ
3.10   の  
    は、  の  と  ニーズに じる、         ガイド1、        serverを  する.xmlファイル、サンプルは  のとおりです.maxThreads="15 g minSpareThreads="25"maxSpareThreads="75"acceptCountw"100°/>maxThreads="150は  150 の  を  に  するminSpareTheeadsw"25"は、 も  していなくてもmaxSpareThreads="75"は、  75 のスレッドが であればacoeplCount="100℃      がmaxThreadsに した  には、この  を えたキューの  を  することもでき、    して  を  する    1、    2、    この  は、  の   な  に じて、それぞれ  するパラメータを  する  がある.3、    
3.11  なHTTPメソッドを  にする
    PUT、DELETEなどの  なHTTPを  にする  :    1、        web.xmlファイルでorgを  する.apache.catalina.servlets.DefaultServiceletの

readonly
false

  
 readonlyパラメータのデフォルトはtrueである、すなわちddleteとput  は されない、2、          1、    2、      webである.xmlファイルでorgを  する.apache.catalina.servlets.DefaultServiceletの
readonly
false
  
ここでparam-valueはfakeです.  に  する.