Tomcat启动安全配置
| 项目名称 | 安全基线项说明 | 安全配置步骤 |
| 屏蔽管理控制台 | 避免Tomcat管理控制台对外开放,完全禁用对manager应用程序的访问,删除tomcat-users.xml禁止管理控制账号。 | 1. 删除 tomcat/conf/tomcat-users.xml 配置文件用户与密码 2. 删除 tomcat/webapps/ 下manager和host-manager两个应用目录。 |
| 删除不使用的样例文件 | 删除Tomcat运行不需要的doc文件和样例文件等文件,这些文件对Tomcat运行没有作用,增加了安全风险。 | 1. 删除 tomcat/webapp/doc/* 目录及该目录下的文件 2. 删除 tomcat/webapp/examples/* 目录及该目录下的文件 3. 删除 tomcat/webapp/ROOT/* 目录及该目录下的文件。 |
| 禁用SSI和CGI功能 | SSI全称(Server Side Includes)是在HTML静态页面中使用的指令,当页面被请求时会被Web服务器执行,CGI是外部程序与Web服务器交互的一种标准接口,由于这两个功能存在安全漏洞,建议禁用。 | 在server.xml中注释或删除相关配置。 |
Tomcat身份鉴别
| 项目名称 | 安全基线项说明 | 安全配置步骤 | ||
| 删除多余账号 | 修改tomcat配置文件/conf/tomcat-users.xml配置文件,删除与工作无关的帐号。 | 删除如下行即可: | ||
| 口令复杂度 | 口令要求:长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。 | 修改tomcat配置文件/conf/tomcat-users.xml配置文件, | ||
| 不同用户不同账号 | 应为两个或两个以上即为合理。 | 修改tomcat配置文件/conf/tomcat-users.xml配置文件,修改或添加帐号: | ||
| 非root启动服务 | tomcat进程的启动用户应不为root,使用普通用户启动tomcat服务。 | ps -ef | grep tomcat | grep -v "grep",确认tomcat进程的用户不是root。 |
Tomcat访问控制
| 项目名称 | 安全基线项说明 | 安全配置步骤 |
| 最小特权 | 编辑tomcat配置文件/conf/tomcat-user.xml配置文件,在 | tomcat6: tomcat7: |
Tomcat安全审计
| 项目名称 | 安全基线项说明 | 安全配置步骤 |
| 记录日志 | 编辑tomcat配置文件server.xml配置文件,在 | 将以下内容的注释标记 |