等保2.0涉及的Apache Tomcat中间件（下） – 作者:等保不好做啊

一、访问控制

首先这里的访问控制要求，就是针对tomcat管理控制台中的用户权限，即Tomcat Manager，它是Tomcat自带的，用于对Tomcat自身以及部署在Tomcat上的应用进行管理的web应用。

Tomcat Manager以授予用户相应角色的方式，进行访问控制，授权其使用相应的功能。

查看的文件为tomcat目录下/conf/tomcat-user.xml

如上图，roles字段就是配置角色的地方，一个用户可以具备多种权限，多个rolename之间可以用英文逗号隔开。

查阅一些网上资料，大致权限如下：

• role1：具有读权限；
• tomcat：具有读和运行权限；
• admin：具有读、运行和写权限；
• manager：具有远程管理权限。

Tomcat 6.0.18版本只有admin和manager两种用户角色，且admin用户具有manager管理权限。

Tomcat 4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。

然后针对于manager又有细分的四种rolename：

• manager-gui：允许访问html接口(即URL路径为/manager/html/*)
• manager-script：允许访问纯文本接口(即URL路径为/manager/text/*)
• manager-jmx：允许访问JMX代理接口(即URL路径为/manager/jmxproxy/*)
• manager-status：允许访问Tomcat只读状态页面(即URL路径为/manager/status/*)

a）应对登录的用户分配账户和权限

查看有哪些用户，分别为什么角色

在tomcat目录下/conf/tomcat-user.xml

b）应重命名或删除默认账户，修改默认账户的默认口令

查看tomcat目录下/conf/tomcat-user.xml

是否存在 admin、manager、tomcat、role1、both等默认账户，口令是否为默认口令等

c）应及时删除或停用多余的、过期的账户，避免共享账户的存在

查看tomcat目录下/conf/tomcat-user.xml文件，确认现有账户有哪些，并询问管理人员每个账户的用途事什么，确认是否存在多余账户

d）应授予管理用户所需的最小权限，实现管理用户的权限分离

三权分立原则

按最小授权原则分配，管理用户的权限分离，对于中间件来说应该实现不了

e）应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则

查看tomcat目录下/conf/tomcat-user.xml，确认管理员对各用户的访问控制规则，即设置的对应角色

各用户的角色权限:

1） tomcat角色

role1：具有读权限；

tomcat：具有读和运行权限；

admin：具有读、运行和写权限；

manager：具有远程管理权限。

Tomcat 6.0.18版本只有admin和manager两种用户角色，且admin用户具有manager管理权限。

2）另外版本

Tomcat 4.1.37和5.5.27版本及以后发行的版本默认除admin用户外其他用户都不具有manager管理权限。

补充:

Manager目录为缺省管理目录，若系统上线后不需要通过web页面管理，可删除（移除）此目录，这样相对更为安全。

f）访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级

这个条款对于服务器、数据库之类的测评对象比较好理解，对于中间件个人是不太理解的，

难道是主体为用户级，客体为web控制台对应功能模块？？

因为网络安全等级保护要求中测评对象有包括，也有是判不适用的，因人而异吧。

g）应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问

同理这条国标中测评对象也涉及了中间件，也有判不适用的。

不知道怎么实现，默认是给不符合的。

二、安全审计

这里首先是要了解tomcat的日志

首先看一下tomcat的位置，它的日志并不在/var/log目录下，一般在tomcat安装路径下的logs文件夹

以下为参考内容，原文链接

日志种类说明

名称 说明

1. catalina.date.log                             Catalina引擎的日志文件
2. catalina.out                                     Catalina控制台输出，包括标准输出和错误输出
3. host-manager.date.log                   主机管理日志
4. localhost.date.log                           Tomcat下内部代码丢出日志
5. locahost_access_log.date.txt           网页访问日志
6. manager.date.log                            应用管理日志

首先关于以上日志的配置文件

1.2.3.4.6 均在tomcat根目录/conf/logging.properties下

5在tomcat根目录/conf/server.xml下

1. logging.properties

一般日志文件定义是3行

1）首行决定什么级别以上的信息输出

每类日志的级别分为如下7种：

SEVERE（highest value）> WARNING > INFO > CONFIG > FINE >FINER >FINEST（lowest value）

OFF为禁用输出；ALL为全部输出

2）第二行决定输出日志文件的路径

3）第三行决定日志文件的前缀

catalina.out 由于是输出控制台（console）信息，该信息源于Linux输出的重定向，因此与其它日志不同。

ps：manager和host-manager分别对应tomcat后台页面的Manager App和Host Manager，想要生成这两类日志，需要在tomcat-users.xml里分别配置manager-gui和admin-gui角色的帐号密码，并访问相应页面，否则这两个日志都会是空的。

1-5 类的日志可归纳为运行日志，一般用于排查服务端console、catalina、tomcat、web应用管理遇到的错误。

2. server.xml

访问日志，即访问网页的记录。

规则：

className                开启访问日志必用类

1. directory                   日志存放目录

2. prefix                        日志名前缀

3. suffix                         日志文件后缀

4. pattern                     日志记录的格式