Tomcat安全補強仕様
1略語
HTTP HyperText Transfer Protocolハイパーテキスト転送プロトコル
2セキュリティ構成要件
3.1アカウント
番号:1要求内容はユーザーに従ってアカウントを割り当てる.異なるユーザー間でアカウントを共有することを避ける.操作ガイド1、構成操作修正/etc/tomcat/tomcat-usersを参照.xmlプロファイル、アカウントの変更または追加.
ユーザー名はadmin、パスワードはadminログインです.2、補足操作説明1、異なるユーザーによって、異なる名称を取る.2、Tomcatは5.5以降のバージョンからadminがデフォルトで存在しない.xmlプロファイル.検出方法1、判定条件各アカウントがTomcat Webサーバに登録可能であること2、検出操作アクセスhttp://ip:8080/manager/html管理ページ、Tomcatサーバー管理番号:2内容は設備の運行、メンテナンスなどの仕事と関係のないアカウントを削除またはロックすることを要求する.操作ガイド1、構成操作を参照してtomcat/conf/tomcat-usersを修正する.xmlプロファイルで、作業に関係のないアカウントを削除します.たとえばdomcatは、実行、メンテナンスなどの作業に関係なくdomcatlアカウントを削除します.検出方法1、判定条件が削除された仕事に関係のないアカウントtomcatlが正常にログインできない.2、検査操作アクセスhttp://ip:8080/manager/htmlページを管理し、削除アカウントを使用してログイン試行を行います.番号:3スーパーユーザーがtomcat操作ガイド1を有効にすることを無効にすること、参照構成操作が一般ユーザーのモードでtomcatの起動スクリプト検出方法1、判定条件2、検出操作を実行して現在のシステムのtomcatプロセスを表示し、プログラムの起動時に使用するアイデンティティを確認することを要求する.
3.2パスワード
静的パスワード認証技術を用いた装置では、パスワード長は少なくとも8ビットであり、数字、小文字、大文字、特殊記号の4種類のうち少なくとも3種類を含むことが要求される.操作ガイド1、参照構成操作はtomcat/conf/tomcat-user.xmlプロファイルでパスワードを設定する
2、補足操作説明パスワード要求;長さは少なくとも8ビットであり、数字、小文字、大文字、特殊記号の4種類のうち少なくとも3種類を含む.1、判定条件検査tomcat/conf/tomcal-user.xmlプロファイルのアカウントパスワードが構成パスワードの複雑さの要件を満たしているかどうか.2、検査操作(1)手動でプロファイルのアカウントパスワードが合っているかどうかを検査する:(2)tomcat弱パスワードスキャンツールを使用して定期的にTomcat Webサーバに対して遠隔スキャンを行い、弱パスワードアカウントがあるかどうかを検査する.3、補足説明弱いパスワードスキャンツールを使用して検査を行う時、スキャンのスレッド数に注意し、サーバーに不要な資源消費をもたらすことを避け、サーバー負荷の低い時間帯にスキャン検査を行うことを選択する.
3.3授権
番号l:コンテンツは、デバイス権限構成能力内で、ユーザのビジネスニーズに応じて、必要な最小権限を構成することが要求される.操作ガイド1、構成操作参照somcat/conf/tomcat-userを編集する.xmlプロファイル、ユーザーロール権限の変更somcatリモート管理権限:2、補足操作説明Tomcatユーザーロール:rolel、tomcat、admin、managerの4種類に分けられます.
rolel: ;
tamcat: ;
admin: 、 :
manager: 。
注意:Tamcat 6.0.18バージョンはadminとmanagerの2つのユーザーロールしかなく、II 1 adminユーザーはmanager管理権限を持ち、検出方法1、判定条件はリモート管理ページにログインし、tomcatアカウントを使用してログインし、ログインに成功した.2、検査操作登録http://ip:8080/manager/htmlページは、tomcatアカウントを使用してログインし、輸送管理を行います.番号:2要求内容:manager機能操作マニュアル1を無効にし、以下の月録C A T A L I N A H O M E/s e r v e r/w e b a p s/m a n a g e rを構成操作を参照して、非CATALINA_に除去するHOME/server/webapps/manager、非CATALINAH OME/server/webapps/manager、非CATALINA_に除去HOME/server/webuppsディレクトリで、mvでローカルに移動して検出方法1、判定条件2、検出操作SCATALINA_を改名HOME/scrverwebapps/managerが存在するか
3.4ログ
番号:1コンテンツデバイスはログ機能を配置し、ユーザーのログインを記録することを要求し、記録内容はユーザーのログイン使用の乗数、ログインが成功したかどうか、ログイン時間、およびリモートログイン時、ユーザーが使用するIPアドレスを含む.操作ガイド1、参照割当操作serverを編集する.xmlプロファイル、ラベルにレコードログ機能を追加して、次の内容のコメントタグをキャンセルします.
Pattern=”common”resloveHosts=”false”/>
1、
2、
3、
server.xml , ,
Directory=”logs”prefix=”localhost_access_log.”Suffix=”.txt”
Pattern=”common”resloveHosts=”false”/>
3.5 HTTP
HTTP , HTTPS
。
1、
(1) JDK kcy1aol
JAVA_HOME/bin/keytool -genkey-alias tomcat -keyalg RSA
-keystore /path/to/my/keystore
(2) tomcat/conf/server.xml , https , :
Connector classname=”org.apache.catalina.http.HttpConnector”
port=”8443” minProcessors=”5” maxprocessors=”100”
enableLookups=”true” acceptCount="10”debug=”0”
scheme=”https” secure=”true”>
Factoryclassname=”org.apache.catalina.SSLServerSocketFactory”
clientAuth="false”
keystoreFile=”/path/to/my/keystore” keystorePass=”runwayl@”
protocol=”TLS”>
/Connector>
keystorePass keystore
(3) tomcat
1、
https tomcat ,
2、
https tomcat
3.6
HTTP , tomcat
1、
(1) domcavconfkserver.xml , xx
port="xx”maxHttpHeaderSize=“8192” maxThreads=“150”
minSpareThreads=“25” maxSpareThreads=“75”、
enableLookups=“false” redirectPort=“8443” acceptCount=“100”
connectionTimeout=“300” disableUploadTimeout=“true” />
(2) tomcat
2、
1、
xx
2、
http://ip:xx
3、
3.7
Tomcat
1、
(1) tomca/conf/web.xml :
- :
404
noFile.htm
.....................
java.lang.NullPointerExceptian
/ error.jsp
の 1の の は、404がjspページを つけることができなかったエラーをnoFileに くことを する.htmページは、 の で403500などの のエラーコードガイドページを することもできる.403500などのガイドページがある.2つ の の は、jspページからjavaが る に される.langNullPointeExceptionパイロットの 、errorjspの エラーページに する、また、 1のjspページに のような なerrorを える がある.jspエラーページのプログラム き は の りです:p-ctエラーページエラー:エラー :
Stack Trace is:
NullPointesException が した 、kamcatはウェブページをemorjspにインポートし、エラーメッセージが されます.(2)tomcatサービスの (3)エラーページが きすぎないようにする 1、 エラーページ2、 URLアドレスバーに http://ip8800/manager12345
3.8 リスト
omatリスト ファイル ガイド1、 (1)tamcatkon/webの を する.xmlプロファイル、
listings
true
trueをfalse (2)に するtamcztサービス 1を し、 WEB にindexのようなデフォルトトップページがない.html、indexjspなどのファイルの 、ディレクトリの 2、 の はリストされませんhtp://ip:8800/webadd
3.9システムBanner
システムBanner ガイド1、 catalina. propertiesの のパラメータ( のバージョン を すために されます).serverbuili-
server.number-X
1、 2、 catalina.JArのサーバinfo.properticsのパラメータ
3.10 の
は、 の と ニーズに じる、 ガイド1、 serverを する.xmlファイル、サンプルは のとおりです.maxThreads="15 g minSpareThreads="25"maxSpareThreads="75"acceptCountw"100°/>maxThreads="150は 150 の を に するminSpareTheeadsw"25"は、 も していなくてもmaxSpareThreads="75"は、 75 のスレッドが であればacoeplCount="100℃ がmaxThreadsに した には、この を えたキューの を することもでき、 して を する 1、 2、 この は、 の な に じて、それぞれ するパラメータを する がある.3、
3.11 なHTTPメソッドを にする
PUT、DELETEなどの なHTTPを にする : 1、 web.xmlファイルでorgを する.apache.catalina.servlets.DefaultServiceletの
readonly
false
readonlyパラメータのデフォルトはtrueである、すなわちddleteとput は されない、2、 1、 2、 webである.xmlファイルでorgを する.apache.catalina.servlets.DefaultServiceletのreadonly
false
ここでparam-valueはfakeです. に する.