一、訪問控制

首先這里的訪問控制要求，就是針對tomcat管理控制臺中的用戶權(quán)限，即Tomcat Manager，它是Tomcat自帶的，用于對Tomcat自身以及部署在Tomcat上的應(yīng)用進(jìn)行管理的web應(yīng)用。

Tomcat Manager以授予用戶相應(yīng)角色的方式，進(jìn)行訪問控制，授權(quán)其使用相應(yīng)的功能。

查看的文件為tomcat目錄下/conf/tomcat-user.xml

如上圖，roles字段就是配置角色的地方，一個用戶可以具備多種權(quán)限，多個rolename之間可以用英文逗號隔開。

查閱一些網(wǎng)上資料，大致權(quán)限如下：

• role1：具有讀權(quán)限；
• tomcat：具有讀和運行權(quán)限；
• admin：具有讀、運行和寫權(quán)限；
• manager：具有遠(yuǎn)程管理權(quán)限。

Tomcat 6.0.18版本只有admin和manager兩種用戶角色，且admin用戶具有manager管理權(quán)限。

Tomcat 4.1.37和5.5.27版本及以后發(fā)行的版本默認(rèn)除admin用戶外其他用戶都不具有manager管理權(quán)限。

然后針對于manager又有細(xì)分的四種rolename：

• manager-gui：允許訪問html接口(即URL路徑為/manager/html/*)
• manager-script：允許訪問純文本接口(即URL路徑為/manager/text/*)
• manager-jmx：允許訪問JMX代理接口(即URL路徑為/manager/jmxproxy/*)
• manager-status：允許訪問Tomcat只讀狀態(tài)頁面(即URL路徑為/manager/status/*)

a）應(yīng)對登錄的用戶分配賬戶和權(quán)限

查看有哪些用戶，分別為什么角色

在tomcat目錄下/conf/tomcat-user.xml

b）應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令

查看tomcat目錄下/conf/tomcat-user.xml

是否存在 admin、manager、tomcat、role1、both等默認(rèn)賬戶，口令是否為默認(rèn)口令等

c）應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在

查看tomcat目錄下/conf/tomcat-user.xml文件，確認(rèn)現(xiàn)有賬戶有哪些，并詢問管理人員每個賬戶的用途事什么，確認(rèn)是否存在多余賬戶

d）應(yīng)授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離

三權(quán)分立原則

按最小授權(quán)原則分配，管理用戶的權(quán)限分離，對于中間件來說應(yīng)該實現(xiàn)不了

e）應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則

查看tomcat目錄下/conf/tomcat-user.xml，確認(rèn)管理員對各用戶的訪問控制規(guī)則，即設(shè)置的對應(yīng)角色

各用戶的角色權(quán)限:

1） tomcat角色

role1：具有讀權(quán)限；

tomcat：具有讀和運行權(quán)限；

admin：具有讀、運行和寫權(quán)限；

manager：具有遠(yuǎn)程管理權(quán)限。

Tomcat 6.0.18版本只有admin和manager兩種用戶角色，且admin用戶具有manager管理權(quán)限。

2）另外版本

Tomcat 4.1.37和5.5.27版本及以后發(fā)行的版本默認(rèn)除admin用戶外其他用戶都不具有manager管理權(quán)限。

補充:

Manager目錄為缺省管理目錄，若系統(tǒng)上線后不需要通過web頁面管理，可刪除（移除）此目錄，這樣相對更為安全。

f）訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級

這個條款對于服務(wù)器、數(shù)據(jù)庫之類的測評對象比較好理解，對于中間件個人是不太理解的，

難道是主體為用戶級，客體為web控制臺對應(yīng)功能模塊？？

因為網(wǎng)絡(luò)安全等級保護要求中測評對象有包括，也有是判不適用的，因人而異吧。

g）應(yīng)對重要主體和客體設(shè)置安全標(biāo)記，并控制主體對有安全標(biāo)記信息資源的訪問

同理這條國標(biāo)中測評對象也涉及了中間件，也有判不適用的。

不知道怎么實現(xiàn)，默認(rèn)是給不符合的。

二、安全審計

這里首先是要了解tomcat的日志

首先看一下tomcat的位置，它的日志并不在/var/log目錄下，一般在tomcat安裝路徑下的logs文件夾

以下為參考內(nèi)容，原文鏈接

日志種類說明

名稱 說明

1. catalina.date.log Catalina引擎的日志文件
2. catalina.out Catalina控制臺輸出，包括標(biāo)準(zhǔn)輸出和錯誤輸出
3. host-manager.date.log 主機管理日志
4. localhost.date.log Tomcat下內(nèi)部代碼丟出日志
5. locahost_access_log.date.txt 網(wǎng)頁訪問日志
6. manager.date.log 應(yīng)用管理日志

首先關(guān)于以上日志的配置文件

1.2.3.4.6 均在tomcat根目錄/conf/logging.properties下

5在tomcat根目錄/conf/server.xml下

1. logging.properties

一般日志文件定義是3行

1）首行決定什么級別以上的信息輸出

每類日志的級別分為如下7種：

SEVERE（highest value）> WARNING > INFO > CONFIG > FINE >FINER >FINEST（lowest value）

OFF為禁用輸出；ALL為全部輸出

2）第二行決定輸出日志文件的路徑

3）第三行決定日志文件的前綴

catalina.out 由于是輸出控制臺（console）信息，該信息源于Linux輸出的重定向，因此與其它日志不同。

ps：manager和host-manager分別對應(yīng)tomcat后臺頁面的Manager App和Host Manager，想要生成這兩類日志，需要在tomcat-users.xml里分別配置manager-gui和admin-gui角色的帳號密碼，并訪問相應(yīng)頁面，否則這兩個日志都會是空的。

1-5 類的日志可歸納為運行日志，一般用于排查服務(wù)端console、catalina、tomcat、web應(yīng)用管理遇到的錯誤。

2. server.xml

訪問日志，即訪問網(wǎng)頁的記錄。

規(guī)則：

className 開啟訪問日志必用類

directory 日志存放目錄

prefix 日志名前綴

suffix 日志文件后綴

pattern 日志記錄的格式

除了第一個className不允許修改外，其他字段值可以根據(jù)實際需要修改，最重要的就是pattern，我們結(jié)合實際日志進(jìn)行對比：

與之前的pattern進(jìn)行比對， pattern="%h %l %u %t "%r"%s %b"

%h 為遠(yuǎn)程主機名 對應(yīng) 192.168.21.237

%l 為遠(yuǎn)程登錄名，除非IdentityCheck設(shè)為‘On’，否則將得到一個“-”

%u 為遠(yuǎn)程用戶名（根據(jù)驗證信息而來），若不存在得到一個“-”

%t 為時間，用普通日志格式（標(biāo)準(zhǔn)英語格式），對應(yīng)[29/Jun/2020:17:04:30 +0800]

" 為雙引號"的實體編碼

%r 為請求頭第一行（包括HTTP方法和請求的RUI），對應(yīng)GET /test/ HTTP/1.1

%s 為HTTP響應(yīng)狀態(tài)碼，對應(yīng)200

%b 為發(fā)送信息的字節(jié)數(shù)，不包括HTTP頭，如果字節(jié)數(shù)為0的話，顯示為-，對應(yīng)88

關(guān)于這個的字段的詳細(xì)配置說明，查閱官方英文文檔最為準(zhǔn)確:

http://tomcat.apache.org/tomcat-8.0-doc/config/valve.html#Access_Log_Valve

a）應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計

對于等保來說，我們要確認(rèn)tomcat是否開啟了相應(yīng)的日志，及相應(yīng)的日志記錄級別

① 查看tomcat目錄/conf/logging.properties

catalina——Catalina引擎的日志文件

localhost——Tomcat下內(nèi)部代碼丟出日志

manager——應(yīng)用管理日志

host-manager——主機管理日志

java——Catalina控制臺輸出，包括標(biāo)準(zhǔn)出書和錯誤輸出

確認(rèn)圖中框起字段不為OFF為開啟審計

且審計級別不低于"FINE"

② 查看tomcat目錄/conf/server.xml，Access網(wǎng)頁訪問日志

有如下字段，取消注釋

確認(rèn)pattern參數(shù)信息，記錄了哪些值

b）審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息

1. 確認(rèn)系統(tǒng)當(dāng)前時間

這個的時間是和服務(wù)器系統(tǒng)時間相同，我們只需要查看服務(wù)器時間是否為北京時間即可（或與NTP時間服務(wù)器同步）

2. 查看日志

在tomcat路徑下的logs目錄下

查看一條日志信息，觀察是否滿足等保要求

c）應(yīng)對審計記錄進(jìn)行保護，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等

1. 查看日志文件權(quán)限

查看本地日志文件權(quán)限，應(yīng)不高于640，并且觀察所屬用戶、用戶組是否合理

2. 詢問管理人員是否定期備份該中間件的日志信息

若是實時傳輸?shù)?#xff0c;個人認(rèn)為對記錄的保護可以直接觀察到傳輸設(shè)備上的相關(guān)權(quán)限，比如傳輸?shù)饺罩痉?wù)器，僅審計管理員具有記錄查看權(quán)限等。

總之，這個得詢問管理人員如何做的，是否做了定期備份。

3. 查看日志文件的保存周期

根據(jù)網(wǎng)絡(luò)安全法的要求，重要設(shè)備的日志留存時間要達(dá)到6個月以上

個人認(rèn)為，這條針對中間件來說最重要的還是網(wǎng)頁訪問日志，當(dāng)然最主要的目的還是溯源，萬一真的發(fā)生安全事件了，要能提供相應(yīng)的記錄性證據(jù)，所以對日志留存的時間有了一個要求。

d）應(yīng)對審計進(jìn)程進(jìn)行保護，防止未經(jīng)授權(quán)的中斷

審計進(jìn)程與中間件主進(jìn)程關(guān)聯(lián)，無法單獨中斷審計進(jìn)程，只要配置文件中開啟了相應(yīng)日志即可。

要這么說的話，應(yīng)該就是查看配置文件的管理權(quán)限和服務(wù)進(jìn)程的關(guān)閉權(quán)限了。

總結(jié)

以上是生活随笔為你收集整理的tomcat中间件的默认端口号_等保2.0涉及的Apache Tomcat中间件（下）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。