1、前言
今天咱们来讲说中间件Apache Tomcat,为了方便,咱们查看的是phpStudy环境下的Apache Tomcat中间件,这个比较简单咱们能够在网上搜索下载phpStudy安装文件,自己搭建环境,这个非常简单,就像安装普通软件同样,安装完成后运行环境,需要重视的是,保准所用服务都开启正常,如下图所示:
phpStudy
平常的问题便是由于80端口被占用,而引起Apache服务没法起步,这儿咱们点击“其它选项菜单”,找到“phpStudy设置”-“端口常规设置”,如下图所示:
更改端口设置
就能够打开端口常规设置界面,咱们讲Apache里边的httpd端口改为非“80”(默认80),点击应用就能够了,如下图所示:
更改端口设置
修改完成保留,phpStudy会自动重启Apache服务,此时就能够正常起步了,咱们能够打开浏览器,输入上图咱们设置的默认首页“http://127.0.0.1:8000”,就能够拜访Apache Tomcat界面了,如下图所示:
Apache Tomcat默认界面
安装完环境,咱们起始等保2.0测评。
2、测评项
1、身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识拥有独一性,身份鉴别信息拥有繁杂度需求并定时更换;
这一项咱们能够查看tomcat目录下/conf/tomcat-user.xml文件,查看username是不是独一,查看password是不是拥有繁杂度,通常需求长度8位以上,由大写字母、小写字母、数字、特殊符号中的任意三种构成,是不是定时修改并无详细配置,这个只能询问管理人员了。
用户口令
b)应拥有登录失败处理功能,应配置并启用结束会话、限制违法登录次数和当登录连接超时自动退出等关联办法;
这一项咱们能够查看tomcat目录下/conf/server.xml文件,查看对应的failureCount(“次”),lockOutTime(“秒”)值,可自动编辑,便是连续输入错误三次秘码,自动锁定300秒,如下图所示:
登录失败处理
至于登录连接超时自动退出,亦是在这个文件,找到connectionTimeout值,默认是20000秒,显然需要修改。
超时自动退出
c)当进行远程管理时,应采取必要办法防止鉴别信息在网络传输过程中被窃听;
这一项重点看信息传输过程中是不是被加密,比较直观的便是看拜访默认界面时,网址前缀是“http”还是“https”,后者的信息是经过加密后传输的。
d)应采用口令、秘码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术最少应运用秘码技术来实现。
Apache Tomcat中间件还无见过做过双原因认证的,基本都是不符合的,当然倘若作了,根据实质状况记录就行了。
2、拜访掌控
a)应对登录的用户分配账户和权限;
查看tomcat目录下/conf/tomcat-user.xml文件,找到有如下图配置字段的位置,查询有那些用户分别属于那种角色,通常来讲,role1:拥有读权限;tomcat:拥有读和运行权限;admin:拥有读、运行和写的权限;manager:拥有远程管理权限。
查看用户和权限
b)应重命名或删除默认账户,修改默认账户的默认口令;
一样查看tomcat目录下/conf/tomcat-user.xml文件,找到username和password字段,查看用户名和秘码,通常admin、manager、tomcat、role1、both等是默认账户,默认口令must_be_change是不是修改。
用户名和口令
c)应即时删除或停用多余的、过期的账户,避免共享账户的存在;
对应上图用户名,询问管理员以上用户的用途,针对没法确定用途的用户能够视为多余用户,至于过期用户Tomcat无关联设置,用户永久有效,共享用户亦只能询问管理员,没法查证,通常都会回答无共享用户。
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
通常系统都采用三权分立的设置来实现权限分离的,针对Tomcat来讲,它自己的权限分配原则,不满足三权分立的需求,因此默认不符合。
e)应由授权主体配置拜访掌控策略,拜访掌控策略规定主体对客体的拜访规则;
一样查看tomcat目录下/conf/tomcat-user.xml文件,找到roles字段,查看区别用户所分配的区别权限,即分配了哪些区别的角色。
角色分配
f)拜访掌控的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
Tomcat的主体拜访掌控粒度是能够达到用户级的,然则客体不会分的那样细,由于Tomcat通常都是做为一个整体为系统供给支持的,都数咱们会认为Tomcat不适用这一项。
g)应对重要主体和客体设置安全标记,并掌控主体对有安全标记信息资源的拜访。
这一项,Tomcat亦是没法实现的,默认不符合,然则都数亦是判定不适用。
3、安全审计
a)应启用安全审计功能,审计覆盖到每一个用户,对重要的用户行径和重要安全事件进行审计;
查看tomcat目录下/conf/logging.properties文件,找到如下图的配置,只要图中被小红方块标注的地区不是OFF,就暗示开启了安全审计功能,默认起始,因此默认符。
安全审计
查看tomcat目录/conf/server.xml,Access网页拜访日志,倘若有如下图内容且取消注释,暗示Access网页拜访日志开启。
Access网页拜访日志
b)审计记录应包含事件的日期和时间、用户、事件类型、事件是不是成功及其他与审计关联的信息;
查看tomcat目录下/logs文件夹里的日志文件,查看是不是满足本项的需求,如下图所示:
日志文件1
日志文件2
c)应对审计记录进行守护,定时备份,避免受到未预期的删除、修改或覆盖等;
查看logs文件的属性,设置了只读,安全选项里除了超级管理员有完全掌控权限,其他用户仅有读取的权限,如下图所示:
logs文件属性
权限查看
至于是不是做了日志备份,只能询问管理员了,并查看备份的日志文件。
d)应对审计进程进行守护,防止未经授权的中断。
Tomcat只要开启了审计功能,就会和主程序一块进行,通常不会中断,因此呢是默认符合的。
4、入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
不适用
b)应关闭不需要的系统服务、默认共享和高危端口;
不适用
c)应经过设定终端接入方式或网络位置范围对经过网络进行管理的管理终端进行限制;
Tomcat无关联设置,应该查看系统是不是做了关联设置。
d)应供给数据有效性检验功能,保准经过人机接口输入或经过通信接口输入的内容符合系统设定需求;
Tomcat无关联设置,应该查看系统是不是做了关联设置。
e)应能发掘可能存在的已知漏洞,并在经过充分测试评定后,即时修补漏洞;
低版本的Tomcat会存在已知漏洞,因此呢需要即时升级到最新的Tomcat版本。
f)应能够检测到对重要节点进行入侵的行径,并在出现严重入侵事件时供给报警。
Tomcat无关联设置,应该查看系统是不是做了相关设置。
以上便是一项一项教你测等保2.0——Apache Tomcat中间件的所有内容,期盼对大众有所帮忙,欢迎关注@科技兴认识更加多科技尤其是网络安全方面的新闻与知识。
| 
发表于 2024-10-5 03:04:25