一、前言
今天我们来说说中间件 Apache Tomcat ,为了方便,我们查看的是phpStudy环境下的Apache Tomcat中间件,这个比较简单我们可以在网上搜索下载 phpStudy 安装文件,自己搭建环境,这个非常简单,就像安装普通软件一样,安装完成后运行环境,需要注意的是,保证所用服务都开启正常,如下图所示:
常见的问题就是因为 80端口 被占用,而导致 Apache 服务无法启动,这里我们点击“其它选项菜单”,找到“phpStudy设置”-“端口常规设置”,如下图所示:
就可以打开端口常规设置界面,我们讲Apache里边的 httpd 端口改为非“80”(默认80),点击应用就可以了,如下图所示:
修改完成保存,phpStudy会自动重启Apache服务,这时就可以正常启动了,我们可以打开浏览器,输入上图我们设置的默认首页“”,就可以访问Apache Tomcat界面了,如下图所示:
安装完环境,我们开始等保2.0测评。
二、测评项
1、身份鉴别
这一项我们可以查看 tomcat目录下/conf/ Tomcat -user.xml文件,查看 username 是否唯一,查看password是否具有复杂度,一般要求长度8位以上,由大写字母、 小写字母 、数字、特殊符号中的任意三种组成,是否定期修改并没有具体配置,这个只能询问管理人员了。
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
这一项我们可以查看 tomcat目录下/conf/server.xml文件,查看对应的failureCount(“次”),lockOutTime(“秒”)值,可自行编辑,便是连续输入错误三次密码,自动锁定300秒,如下图所示:
至于登录连接超时自动退出,也是在这个文件,找到 connectionTimeout值,默认是20000秒,显然需要修改。
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
这一项主要看信息传输过程中是否被加密,比较直观的就是看访问默认界面时,网址前缀是“http”还是“https”,后者的信息是经过加密后传输的。
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
Apache Tomcat中间件还没有见过做过双因素认证的,基本都是不符合的,当然如果作了,按照实际情况记录就行了。
2、访问控制
a)应对登录的用户分配账户和权限;
查看 tomcat目录下/conf/tomcat-user.xml文件,找到有如下图配置字段的位置,查找有哪些用户分别属于那种角色,一般来说,role1:具有读权限;tomcat:具有读和运行权限;admin:具有读、运行和写的权限;manager:具有远程管理权限。
b)应重命名或删除默认账户,修改默认账户的默认口令;
同样查看 tomcat目录下/conf/tomcat-user.xml文件,找到username和password字段,查看用户名和密码,一般admin、manager、tomcat、role1、both等是默认账户,默认口令must_be_change是否修改。
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
对应上图用户名,询问管理员以上用户的用途,对于无法确定用途的用户可以视为多余用户,至于过期用户Tomcat没有相关设置,用户永久有效,共享用户也只能询问管理员,无法查证,一般都会回答没有共享用户。
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
一般系统都采用 三权分立 的设置来实现权限分离的,对于Tomcat来说,它自己的权限分配原则,不满足三权分立的要求,所以默认不符合。
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
同样查看 tomcat目录下/conf/tomcat-user.xml文件,找到roles字段,查看不同用户所分配的不同权限,即分配了那些不同的角色。
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
Tomcat的主体访问控制粒度是可以达到用户级的,但是客体不会分的那么细,因为Tomcat一般都是作为一个整体为系统提供支持的,多数我们会认为Tomcat不适用这一项。
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
这一项,Tomcat也是无法实现的,默认不符合,但是多数也是判定不适用。
3、 安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
查看 tomcat目录下/conf/logging.properties文件,找到如下图的配置,只要图中被小红方块标注的地方不是OFF,就表示开启了安全审计功能,默认开始,所以默认符。
查看tomcat目录/conf/server.xml,Access网页访问日志,如果有如下图内容且取消注释,表示Access网页访问日志开启。
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
查看 tomcat目录下/logs文件夹里的日志文件,查看是否满足本项的要求,如下图所示:
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
查看logs文件的属性,设置了只读,安全选项里除了超级管理员有完全控制权限,其他用户只有读取的权限,如下图所示:
至于是否做了日志备份,只能询问管理员了,并查看备份的日志文件。
d)应对审计进程进行保护,防止未经授权的中断。
Tomcat只要开启了审计功能,就会和主程序一起进行,一般不会中断,因此是默认符合的。
4、入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
不适用
b)应关闭不需要的系统服务、默认共享和高危端口;
不适用
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
Tomcat没有相关设置,应该查看系统是否做了相关设置。
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
Tomcat没有相关设置,应该查看系统是否做了相关设置。
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
低版本的Tomcat会存在已知漏洞,因此需要及时升级到最新的Tomcat版本。
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
Tomcat没有相关设置,应该查看系统是否做了相关设置。
以上就是一项一项教你测等保2.0——Apache Tomcat中间件的所有内容,希望对大家有所帮助,欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。