小編給大家分享一下Tomcat中間件基線核查的示例分析����,相信大部分人都還不怎么了解�,因此分享這篇文章給大家參考一下�,希望大家閱讀完這篇文章后大有收獲����,下面讓我們一起去了解一下吧�!
創(chuàng)新互聯(lián)公司是由多位在大型網(wǎng)絡(luò)公司、廣告設(shè)計(jì)公司的優(yōu)秀設(shè)計(jì)人員和策劃人員組成的一個(gè)具有豐富經(jīng)驗(yàn)的團(tuán)隊(duì)���,其中包括網(wǎng)站策劃����、網(wǎng)頁美工���、網(wǎng)站程序員�、網(wǎng)頁設(shè)計(jì)師�、平面廣告設(shè)計(jì)師、網(wǎng)絡(luò)營銷人員及形象策劃�。承接:成都做網(wǎng)站、網(wǎng)站制作���、成都外貿(mào)網(wǎng)站建設(shè)���、網(wǎng)站改版���、網(wǎng)頁設(shè)計(jì)制作、網(wǎng)站建設(shè)與維護(hù)��、網(wǎng)絡(luò)推廣�����、數(shù)據(jù)庫開發(fā),以高性價(jià)比制作企業(yè)網(wǎng)站�、行業(yè)門戶平臺(tái)等全方位的服務(wù)。
一���、身份鑒別
1.1應(yīng)啟用身份鑒別��、 用戶身份標(biāo)識(shí)唯一性檢查����、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能��,并根據(jù)安全策略配置相關(guān)參數(shù)
檢查是否按照用戶分配賬號(hào),避免賬號(hào)共享,至少存在兩個(gè)賬號(hào):
修改tomcat-users.xml配置文件�����,修改或添加賬號(hào)�����。
1.2應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能��,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)���,身份鑒別信息不易被冒用
密碼長度不小于8位且包括數(shù)字、小寫字母�、大寫字母和特殊符號(hào)中至少兩類:
在配置文件tomcat-users.xml中設(shè)置口令的長度不小于8位,復(fù)雜度符合要求����。 eg:
二、訪問控制
2.1應(yīng)提供訪問控制功能�����,依據(jù)安全策略控制用戶對(duì)文件��、數(shù)據(jù)庫表等客體的訪問
2.1.1檢查是否禁用非法HTTP方法
禁用非法HTTP方法:
編輯web.xml文件中配置 org.apache.catalina.servlets.DefaultServlet的 readonly
true
其中param-value為true時(shí),即不允許delete和put操作����。
2.1.2檢查是否修改tomcat manager文件夾名稱
修改manager文件夾名稱:
eg:將C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\manager修改為C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\XXX XXX為新的文件夾名稱
2.1.3檢查是否更改tomcat服務(wù)器默認(rèn)端口
應(yīng)更改tomcat服務(wù)器默認(rèn)端口:
修改配置文件server.xnl,更改默認(rèn)管理端口:
2.1.4檢查是否禁止tomcat列表顯示文件
禁止Tomcat列表顯示文件:
編輯配置文件web.xml����,修改如下: listings true 把true改成false
2.2應(yīng)由授權(quán)主體配置訪問控制策略,并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限
2.2.1檢查是否禁用超級(jí)用戶啟用tomcat
應(yīng)禁止超級(jí)用戶啟用tomcat:
在超級(jí)用戶模式下啟用tomcat��,如果可以啟用����,建議禁用超級(jí)用戶,改為普通用戶進(jìn)行啟用�����。
2.2.2檢查是否設(shè)置防止惡意關(guān)閉tomcat服務(wù)
應(yīng)避免惡意shutdown TOMCAT服務(wù):
打開tomcat_home/conf/server.xml��,查看是否設(shè)置了復(fù)雜的字符串 避免惡意shutdown TOMCAT服務(wù)
2.3應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限����,并在它們之間形成相互制約的關(guān)系
檢查是否設(shè)置在設(shè)備權(quán)限配置能力內(nèi),根據(jù)用戶的業(yè)務(wù)需要�,配置其所需的最小權(quán)限
修改用戶角色權(quán)限�����,授權(quán)tomcat具有遠(yuǎn)程管理權(quán)限:
編輯tomcat-users.xml配置文件�����,修改用戶角色權(quán)限�����,授權(quán)tomcat具有遠(yuǎn)程管理權(quán)限: eg:
2.4應(yīng)對(duì)通信過程中的整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密
檢查是否配置設(shè)備支持使用HTTPS加密協(xié)議
設(shè)備應(yīng)支持使用HTTPS加密協(xié)議:
使用JDK自帶的keytool工具生成一個(gè)證書(keystore文件),其中包含了密鑰�。
在命令行輸入以下命令:keytool -genkey -alias tbb -keyalg RSA -keystore d:\tbb.keystore(可自選地址)
根據(jù)系統(tǒng)提示輸入“keystore”密碼和其他信息,注意:您的名字與姓氏是什么�?此項(xiàng)要輸入本機(jī)IP地址
輸入私鑰密碼,確認(rèn)私鑰密碼 系統(tǒng)將在當(dāng)前目錄下生成一個(gè)“keystore”文件
創(chuàng)建自簽名的證書
使用使用JDK自帶的命令keytool創(chuàng)建自簽名證書:keytool -selfcert -alias tbb -keystore d:\tbb.keystore(可自選地址)
創(chuàng)建成功后�����,將證書導(dǎo)出:keytool -export -alias tbb -keystore d:\tbb.keystore -storepass 123456 -rfc -file d:\tbb.cer(可自選地址)
將證書導(dǎo)入到“受信任的根證書頒發(fā)機(jī)構(gòu)”�,開始->運(yùn)行->certmgr.msc
修改配置文件xml,如下:
重啟tomcat
三����、安全審計(jì)
3.1應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能,對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)
檢查是否配置日志功能,對(duì)用戶登錄進(jìn)行記錄
應(yīng)對(duì)用戶登錄使用的賬號(hào)����,登錄是否成功,登錄時(shí)間���,以及遠(yuǎn)程登錄時(shí)用戶使用的IP地址進(jìn)行記錄:
編輯server.xml配置文件�����,在標(biāo)簽中增加記錄日志功能�����,將以下內(nèi)容的注釋標(biāo)記< ! -- -- >取消:
四���、軟件容錯(cuò)
4.1在故障發(fā)生時(shí),應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能�����,確保能夠?qū)嵤┍匾拇胧?/strong>
檢查是否配置tomcat錯(cuò)誤頁面重定向
配置Tomcat錯(cuò)誤頁面重定向:
編輯配置文件web.xml�,
修改如下: 404 /錯(cuò)誤頁面 …………… java.lang.NullPointerException /錯(cuò)誤頁面
五、資源控制
5.1當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)�,另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話
檢查是否設(shè)置連接超時(shí)時(shí)間
應(yīng)設(shè)置Connector接受一個(gè)連接后等待的時(shí)間不大于默認(rèn)時(shí)間60秒(60000毫秒):
編輯配置文件server.xml��,修改超時(shí)時(shí)間: 注意:0為永不超時(shí)�,也屬于不合規(guī)�。
應(yīng)設(shè)置Connector接受一個(gè)連接后等待的時(shí)間不為0:
編輯配置文件server.xml,修改超時(shí)時(shí)間: 注意:0為永不超時(shí)��,也屬于不合規(guī)��。
5.2應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制
5.2.1檢查是否設(shè)置連接數(shù)
應(yīng)根據(jù)機(jī)器性能和業(yè)務(wù)需求�����,設(shè)置最小連接數(shù):
編輯server.xml文件����,樣例如下: minSpareThreads="25" 表示即使沒有人使用也開這么多空線程等待 根據(jù)實(shí)際情況設(shè)置連接數(shù)
應(yīng)根據(jù)機(jī)器性能和業(yè)務(wù)需求�����,設(shè)置最大連接數(shù):
編輯server.xml文件��,樣例如下: maxThreads="150" 表示最多同時(shí)處理150個(gè)連接 根據(jù)實(shí)際情況配置連接數(shù)
以上是“Tomcat中間件基線核查的示例分析”這篇文章的所有內(nèi)容����,感謝各位的閱讀���!相信大家都有了一定的了解,希望分享的內(nèi)容對(duì)大家有所幫助�,如果還想學(xué)習(xí)更多知識(shí),歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道�����!
當(dāng)前文章:Tomcat中間件基線核查的示例分析
標(biāo)題路徑:
http://weahome.cn/article/jdceeg.html
重慶分公司
重慶分公司
