溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
小編給大家分享一下Tomcat中間件基線核查的示例分析,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!
檢查是否按照用戶分配賬號,避免賬號共享,至少存在兩個賬號:
修改tomcat-users.xml配置文件,修改或添加賬號。
<user username=”tomcat” password=” testPasswd&” roles=”admin”>
密碼長度不小于8位且包括數字、小寫字母、大寫字母和特殊符號中至少兩類:
在配置文件tomcat-users.xml中設置口令的長度不小于8位,復雜度符合要求。 eg: <user username="tomcat" password="testPasswd&" roles="admin" />
禁用非法HTTP方法:
編輯web.xml文件中配置 org.apache.catalina.servlets.DefaultServlet的 <init-param> <param-name>readonly</param-name>
<param-value>true</param-value> </init-param>
其中param-value為true時,即不允許delete和put操作。
修改manager文件夾名稱:
eg:將C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\manager修改為C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\XXX XXX為新的文件夾名稱
應更改tomcat服務器默認端口:
修改配置文件server.xnl,更改默認管理端口: <Connector port="新的端口" protocol="HTTP/1.1" connectionTimeout="300" redirectPort="8443" />
禁止Tomcat列表顯示文件:
編輯配置文件web.xml,修改如下: <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> 把true改成false
應禁止超級用戶啟用tomcat:
在超級用戶模式下啟用tomcat,如果可以啟用,建議禁用超級用戶,改為普通用戶進行啟用。
應避免惡意shutdown TOMCAT服務:
打開tomcat_home/conf/server.xml,查看是否設置了復雜的字符串 <Server port="8005" shutdown="復雜的字符串"> 避免惡意shutdown TOMCAT服務
檢查是否設置在設備權限配置能力內,根據用戶的業務需要,配置其所需的最小權限
修改用戶角色權限,授權tomcat具有遠程管理權限:
編輯tomcat-users.xml配置文件,修改用戶角色權限,授權tomcat具有遠程管理權限: eg:<user username=”tomcat” password=”***” roles=”manager”>
檢查是否配置設備支持使用HTTPS加密協議
設備應支持使用HTTPS加密協議:
使用JDK自帶的keytool工具生成一個證書(keystore文件),其中包含了密鑰。
在命令行輸入以下命令:keytool -genkey -alias tbb -keyalg RSA -keystore d:\tbb.keystore(可自選地址)
根據系統提示輸入“keystore”密碼和其他信息,注意:您的名字與姓氏是什么?此項要輸入本機IP地址
輸入私鑰密碼,確認私鑰密碼 系統將在當前目錄下生成一個“keystore”文件
創建自簽名的證書
使用使用JDK自帶的命令keytool創建自簽名證書:keytool -selfcert -alias tbb -keystore d:\tbb.keystore(可自選地址)
創建成功后,將證書導出:keytool -export -alias tbb -keystore d:\tbb.keystore -storepass 123456 -rfc -file d:\tbb.cer(可自選地址)
將證書導入到“受信任的根證書頒發機構”,開始->運行->certmgr.msc
修改配置文件xml,如下: <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystorePass="your passwd" keystoreFile="your keystore"/>
重啟tomcat
檢查是否配置日志功能,對用戶登錄進行記錄
應對用戶登錄使用的賬號,登錄是否成功,登錄時間,以及遠程登錄時用戶使用的IP地址進行記錄:
編輯server.xml配置文件,在<HOST>標簽中增加記錄日志功能,將以下內容的注釋標記< ! -- -- >取消: <Valve className=”org.apache.catalina.valves.AccessLogValve” Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt” Pattern=”common” resloveHosts=”false”/>
檢查是否配置tomcat錯誤頁面重定向
配置Tomcat錯誤頁面重定向:
編輯配置文件web.xml,
修改如下: <error-page> <error-code>404</error-code> <location>/錯誤頁面</location> </error-page> …………… <error-page> <exception-type>java.lang.NullPointerException</exception-type> <location>/錯誤頁面</location> </error-page>
檢查是否設置連接超時時間
應設置Connector接受一個連接后等待的時間不大于默認時間60秒(60000毫秒):
編輯配置文件server.xml,修改超時時間: <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="xxx" redirectPort="8443" /> 注意:0為永不超時,也屬于不合規。
應設置Connector接受一個連接后等待的時間不為0:
編輯配置文件server.xml,修改超時時間: <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="xxx" redirectPort="8443" /> 注意:0為永不超時,也屬于不合規。
應根據機器性能和業務需求,設置最小連接數:
編輯server.xml文件,樣例如下: <Connector port="8080" minSpareThreads="25" ……/> minSpareThreads="25" 表示即使沒有人使用也開這么多空線程等待 根據實際情況設置連接數
應根據機器性能和業務需求,設置最大連接數:
編輯server.xml文件,樣例如下: <Connector port="8080" maxThreads="150"……/> maxThreads="150" 表示最多同時處理150個連接 根據實際情況配置連接數
以上是“Tomcat中間件基線核查的示例分析”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
