一、訪問控制

首先這里的訪問控制要求，就是針對tomcat管理控制臺中的用戶權限，即Tomcat Manager，它是Tomcat自帶的，用于對Tomcat自身以及部署在Tomcat上的應用進行管理的web應用。

Tomcat Manager以授予用戶相應角色的方式，進行訪問控制，授權其使用相應的功能。

查看的文件為tomcat目錄下/conf/tomcat-user.xml

如上圖，roles字段就是配置角色的地方，一個用戶可以具備多種權限，多個rolename之間可以用英文逗號隔開。

查閱一些網上資料，大致權限如下：

• role1：具有讀權限；
• tomcat：具有讀和運行權限；
• admin：具有讀、運行和寫權限；
• manager：具有遠程管理權限。

Tomcat 6.0.18版本只有admin和manager兩種用戶角色，且admin用戶具有manager管理權限。

Tomcat 4.1.37和5.5.27版本及以后發行的版本默認除admin用戶外其他用戶都不具有manager管理權限。

然后針對于manager又有細分的四種rolename：

• manager-gui：允許訪問html接口(即URL路徑為/manager/html/*)
• manager-script：允許訪問純文本接口(即URL路徑為/manager/text/*)
• manager-jmx：允許訪問JMX代理接口(即URL路徑為/manager/jmxproxy/*)
• manager-status：允許訪問Tomcat只讀狀態頁面(即URL路徑為/manager/status/*)

a）應對登錄的用戶分配賬戶和權限

查看有哪些用戶，分別為什么角色

在tomcat目錄下/conf/tomcat-user.xml

b）應重命名或刪除默認賬戶，修改默認賬戶的默認口令

查看tomcat目錄下/conf/tomcat-user.xml

是否存在 admin、manager、tomcat、role1、both等默認賬戶，口令是否為默認口令等

c）應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在

查看tomcat目錄下/conf/tomcat-user.xml文件，確認現有賬戶有哪些，并詢問管理人員每個賬戶的用途事什么，確認是否存在多余賬戶

d）應授予管理用戶所需的最小權限，實現管理用戶的權限分離

三權分立原則

按最小授權原則分配，管理用戶的權限分離，對于中間件來說應該實現不了

e）應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則

查看tomcat目錄下/conf/tomcat-user.xml，確認管理員對各用戶的訪問控制規則，即設置的對應角色

各用戶的角色權限:

1） tomcat角色

role1：具有讀權限；

tomcat：具有讀和運行權限；

admin：具有讀、運行和寫權限；

manager：具有遠程管理權限。

Tomcat 6.0.18版本只有admin和manager兩種用戶角色，且admin用戶具有manager管理權限。

2）另外版本

Tomcat 4.1.37和5.5.27版本及以后發行的版本默認除admin用戶外其他用戶都不具有manager管理權限。

補充:

Manager目錄為缺省管理目錄，若系統上線后不需要通過web頁面管理，可刪除（移除）此目錄，這樣相對更為安全。

f）訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級

這個條款對于服務器、數據庫之類的測評對象比較好理解，對于中間件個人是不太理解的，

難道是主體為用戶級，客體為web控制臺對應功能模塊？？

因為網絡安全等級保護要求中測評對象有包括，也有是判不適用的，因人而異吧。

g）應對重要主體和客體設置安全標記，并控制主體對有安全標記信息資源的訪問

同理這條國標中測評對象也涉及了中間件，也有判不適用的。

不知道怎么實現，默認是給不符合的。

二、安全審計

這里首先是要了解tomcat的日志

首先看一下tomcat的位置，它的日志并不在/var/log目錄下，一般在tomcat安裝路徑下的logs文件夾

以下為參考內容，原文鏈接

日志種類說明

名稱 說明

1. catalina.date.log Catalina引擎的日志文件
2. catalina.out Catalina控制臺輸出，包括標準輸出和錯誤輸出
3. host-manager.date.log 主機管理日志
4. localhost.date.log Tomcat下內部代碼丟出日志
5. locahost_access_log.date.txt 網頁訪問日志
6. manager.date.log 應用管理日志

首先關于以上日志的配置文件

1.2.3.4.6 均在tomcat根目錄/conf/logging.properties下

5在tomcat根目錄/conf/server.xml下

1. logging.properties

一般日志文件定義是3行

1）首行決定什么級別以上的信息輸出

每類日志的級別分為如下7種：

SEVERE（highest value）> WARNING > INFO > CONFIG > FINE >FINER >FINEST（lowest value）

OFF為禁用輸出；ALL為全部輸出

2）第二行決定輸出日志文件的路徑

3）第三行決定日志文件的前綴

catalina.out 由于是輸出控制臺（console）信息，該信息源于Linux輸出的重定向，因此與其它日志不同。

ps：manager和host-manager分別對應tomcat后臺頁面的Manager App和Host Manager，想要生成這兩類日志，需要在tomcat-users.xml里分別配置manager-gui和admin-gui角色的帳號密碼，并訪問相應頁面，否則這兩個日志都會是空的。

1-5 類的日志可歸納為運行日志，一般用于排查服務端console、catalina、tomcat、web應用管理遇到的錯誤。

2. server.xml

訪問日志，即訪問網頁的記錄。

規則：

className 開啟訪問日志必用類

directory 日志存放目錄

prefix 日志名前綴

suffix 日志文件后綴

pattern 日志記錄的格式

除了第一個className不允許修改外，其他字段值可以根據實際需要修改，最重要的就是pattern，我們結合實際日志進行對比：

與之前的pattern進行比對， pattern="%h %l %u %t "%r"%s %b"

%h 為遠程主機名 對應 192.168.21.237

%l 為遠程登錄名，除非IdentityCheck設為‘On’，否則將得到一個“-”

%u 為遠程用戶名（根據驗證信息而來），若不存在得到一個“-”

%t 為時間，用普通日志格式（標準英語格式），對應[29/Jun/2020:17:04:30 +0800]

" 為雙引號"的實體編碼

%r 為請求頭第一行（包括HTTP方法和請求的RUI），對應GET /test/ HTTP/1.1

%s 為HTTP響應狀態碼，對應200

%b 為發送信息的字節數，不包括HTTP頭，如果字節數為0的話，顯示為-，對應88

關于這個的字段的詳細配置說明，查閱官方英文文檔最為準確:

http://tomcat.apache.org/tomcat-8.0-doc/config/valve.html#Access_Log_Valve

a）應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計

對于等保來說，我們要確認tomcat是否開啟了相應的日志，及相應的日志記錄級別

① 查看tomcat目錄/conf/logging.properties

catalina——Catalina引擎的日志文件

localhost——Tomcat下內部代碼丟出日志

manager——應用管理日志

host-manager——主機管理日志

java——Catalina控制臺輸出，包括標準出書和錯誤輸出

確認圖中框起字段不為OFF為開啟審計

且審計級別不低于"FINE"

② 查看tomcat目錄/conf/server.xml，Access網頁訪問日志

有如下字段，取消注釋

確認pattern參數信息，記錄了哪些值

b）審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息

1. 確認系統當前時間

這個的時間是和服務器系統時間相同，我們只需要查看服務器時間是否為北京時間即可（或與NTP時間服務器同步）

2. 查看日志

在tomcat路徑下的logs目錄下

查看一條日志信息，觀察是否滿足等保要求

c）應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等

1. 查看日志文件權限

查看本地日志文件權限，應不高于640，并且觀察所屬用戶、用戶組是否合理

2. 詢問管理人員是否定期備份該中間件的日志信息

若是實時傳輸的，個人認為對記錄的保護可以直接觀察到傳輸設備上的相關權限，比如傳輸到日志服務器，僅審計管理員具有記錄查看權限等。

總之，這個得詢問管理人員如何做的，是否做了定期備份。

3. 查看日志文件的保存周期

根據網絡安全法的要求，重要設備的日志留存時間要達到6個月以上

個人認為，這條針對中間件來說最重要的還是網頁訪問日志，當然最主要的目的還是溯源，萬一真的發生安全事件了，要能提供相應的記錄性證據，所以對日志留存的時間有了一個要求。

d）應對審計進程進行保護，防止未經授權的中斷

審計進程與中間件主進程關聯，無法單獨中斷審計進程，只要配置文件中開啟了相應日志即可。

要這么說的話，應該就是查看配置文件的管理權限和服務進程的關閉權限了。

總結

以上是生活随笔為你收集整理的tomcat中间件的默认端口号_等保2.0涉及的Apache Tomcat中间件（下）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。