小編給大家分享一下Tomcat中間件基線核查的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

創新互聯公司是由多位在大型網絡公司、廣告設計公司的優秀設計人員和策劃人員組成的一個具有豐富經驗的團隊，其中包括網站策劃、網頁美工、網站程序員、網頁設計師、平面廣告設計師、網絡營銷人員及形象策劃。承接：成都做網站、網站制作、成都外貿網站建設、網站改版、網頁設計制作、網站建設與維護、網絡推廣、數據庫開發,以高性價比制作企業網站、行業門戶平臺等全方位的服務。

一、身份鑒別

1.1應啟用身份鑒別、 用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數

檢查是否按照用戶分配賬號,避免賬號共享，至少存在兩個賬號：

修改tomcat-users.xml配置文件，修改或添加賬號。

<user username=”tomcat” password=” testPasswd&” roles=”admin”>

1.2應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用

密碼長度不小于8位且包括數字、小寫字母、大寫字母和特殊符號中至少兩類：

在配置文件tomcat-users.xml中設置口令的長度不小于8位，復雜度符合要求。 eg: <user username="tomcat" password="testPasswd&" roles="admin" />

二、訪問控制

2.1應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問

2.1.1檢查是否禁用非法HTTP方法

禁用非法HTTP方法：

編輯web.xml文件中配置 org.apache.catalina.servlets.DefaultServlet的 <init-param> <param-name>readonly</param-name>

<param-value>true</param-value> </init-param>

其中param-value為true時，即不允許delete和put操作。

2.1.2檢查是否修改tomcat manager文件夾名稱

修改manager文件夾名稱：

eg:將C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\manager修改為C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\XXX XXX為新的文件夾名稱

2.1.3檢查是否更改tomcat服務器默認端口

應更改tomcat服務器默認端口：

修改配置文件server.xnl，更改默認管理端口： <Connector port="新的端口" protocol="HTTP/1.1" connectionTimeout="300" redirectPort="8443" />

2.1.4檢查是否禁止tomcat列表顯示文件

禁止Tomcat列表顯示文件：

編輯配置文件web.xml，修改如下： <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> 把true改成false

2.2應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限

2.2.1檢查是否禁用超級用戶啟用tomcat

應禁止超級用戶啟用tomcat：

在超級用戶模式下啟用tomcat，如果可以啟用，建議禁用超級用戶，改為普通用戶進行啟用。

2.2.2檢查是否設置防止惡意關閉tomcat服務

應避免惡意shutdown TOMCAT服務：

打開tomcat_home/conf/server.xml，查看是否設置了復雜的字符串 <Server port="8005" shutdown="復雜的字符串"> 避免惡意shutdown TOMCAT服務

2.3應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系

檢查是否設置在設備權限配置能力內，根據用戶的業務需要，配置其所需的最小權限

修改用戶角色權限，授權tomcat具有遠程管理權限：

編輯tomcat-users.xml配置文件，修改用戶角色權限，授權tomcat具有遠程管理權限： eg：<user username=”tomcat” password=”***” roles=”manager”>

2.4應對通信過程中的整個報文或會話過程進行加密

檢查是否配置設備支持使用HTTPS加密協議

設備應支持使用HTTPS加密協議：

1. 使用JDK自帶的keytool工具生成一個證書（keystore文件），其中包含了密鑰。

2. 在命令行輸入以下命令：keytool -genkey -alias tbb -keyalg RSA -keystore d:\tbb.keystore(可自選地址)

3. 根據系統提示輸入“keystore”密碼和其他信息，注意：您的名字與姓氏是什么？此項要輸入本機IP地址

4. 輸入私鑰密碼，確認私鑰密碼 系統將在當前目錄下生成一個“keystore”文件

5. 創建自簽名的證書

6. 使用使用JDK自帶的命令keytool創建自簽名證書：keytool -selfcert -alias tbb -keystore d:\tbb.keystore(可自選地址)

7. 創建成功后，將證書導出：keytool -export -alias tbb -keystore d:\tbb.keystore -storepass 123456 -rfc -file d:\tbb.cer(可自選地址)

8. 將證書導入到“受信任的根證書頒發機構”，開始->運行->certmgr.msc

9. 修改配置文件xml，如下： <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystorePass="your passwd" keystoreFile="your keystore"/>

10. 重啟tomcat

三、安全審計

3.1應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計

檢查是否配置日志功能，對用戶登錄進行記錄

應對用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時用戶使用的IP地址進行記錄：

編輯server.xml配置文件，在<HOST>標簽中增加記錄日志功能，將以下內容的注釋標記< ! -- -- >取消： <Valve className=”org.apache.catalina.valves.AccessLogValve” Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt” Pattern=”common” resloveHosts=”false”/>

四、軟件容錯

4.1在故障發生時，應用系統應能夠繼續提供一部分功能，確保能夠實施必要的措施

檢查是否配置tomcat錯誤頁面重定向

配置Tomcat錯誤頁面重定向：

編輯配置文件web.xml，

修改如下： <error-page> <error-code>404</error-code> <location>/錯誤頁面</location> </error-page> …………… <error-page> <exception-type>java.lang.NullPointerException</exception-type> <location>/錯誤頁面</location> </error-page>

五、資源控制

5.1當應用系統的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話

檢查是否設置連接超時時間

應設置Connector接受一個連接后等待的時間不大于默認時間60秒(60000毫秒)：

編輯配置文件server.xml，修改超時時間： <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="xxx" redirectPort="8443" /> 注意：0為永不超時，也屬于不合規。

應設置Connector接受一個連接后等待的時間不為0：

編輯配置文件server.xml，修改超時時間： <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="xxx" redirectPort="8443" /> 注意：0為永不超時，也屬于不合規。

5.2應能夠對應用系統的最大并發會話連接數進行限制

5.2.1檢查是否設置連接數

應根據機器性能和業務需求，設置最小連接數：

編輯server.xml文件，樣例如下： <Connector   port="8080"  minSpareThreads="25" ……/> minSpareThreads="25" 表示即使沒有人使用也開這么多空線程等待 根據實際情況設置連接數

應根據機器性能和業務需求，設置最大連接數：

編輯server.xml文件，樣例如下： <Connector   port="8080" maxThreads="150"……/> maxThreads="150" 表示最多同時處理150個連接 根據實際情況配置連接數

以上是“Tomcat中間件基線核查的示例分析”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注創新互聯行業資訊頻道！

網站名稱：Tomcat中間件基線核查的示例分析
文章分享：http://m.2m8n56k.cn/article46/jdceeg.html

成都網站建設公司_創新互聯，為您提供動態網站、網站營銷、移動網站建設、全網營銷推廣、靜態網站、手機網站建設

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯