文档介绍:Tomcat系统安全配置基线目录第1章 概述 1文档收集自网络, 目的 1文档收集自网络, 适用范围 1文档收集自网络, 适用版本 1文档收集自网络,仅用于个人学****第2章 账号管理、认证授权 1文档收集自网络, 账号 1文档收集自网络, 用户帐号设置 1文档收集自网络, 删除或锁定无效账号 2文档收集自网络, 认证 2文档收集自网络, 密码复杂度 2文档收集自网络, 权限最小化 3文档收集自网络,仅用于个人学****第3章 日志审计 4文档收集自网络, 日志审核 4文档收集自网络,仅用于个人学****第4章 其他配置操作 5文档收集自网络, 登陆超时退出 5文档收集自网络, 自定义错误信息 6文档收集自网络, 限制访问IP 7文档收集自网络, 禁止目录遍历 7文档收集自网络,仅用于个人学****第5章 持续改进 8文档收集自网络,仅用于个人学****概述目的本文规定了Tomcat系统应当遵循的操作安全性设置标准,本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。文档收集自网络,仅用于个人学****适用范围本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的范围包括:Tomcat系统。适用版本适用于Tomcat。账号管理、认证授权账号用户帐号设置安全基线项目名称为不同的管理员分配不同的号安全基线项说明应按照用户分配账号,避免不同用户间共享账号,提高安全性。检测操作步骤1、参考配置操作修改tomcat/conf/tomcat-,修改或添加帐号。<userusername=”tomcat”password=”Tomcat!234”roles=”admin”>2、补充操作说明1、根据不同用户,取不同的名称。2、、。基线符合性判定依据询问管理员是否安装需求分配用户号备注删除或锁定无效账号安全基线项目名称删除或锁定无效账号安全基线项说明删除或锁定无效的账号,减少系统安全隐患。检测操作步骤参考配置操作修改tomcat/conf/tomcat-,删除与工作无关的帐号。例如tomcat1与运行、维护等工作无关,删除帐号:<userusername=”tomcat1”password=”tomcat”roles=”admin”>基线符合性判定依据查看配置文件备注认证密码复杂度安全基线项目名称密码复杂度安全基线项说明对于采用静态口令认证技术的设备,口令长度至少12位,包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤1、参考配置操作在tomcat/conf/tomcat-<userusername=”tomcat”password=”Tomcat!234”roles=”admin”>2、补充操作说明口令要求