Tomcat系统安全配置基线

Tomcat系统安全配置基线 目 录

第1章 概述 1.1 目的 本文规定了Tomcat系统应当遵循的操作安全性设置标准，本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置。 1.2 适用范围 本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。 本配置标准适用的范围包括： Tomcat系统。 1.3 适用版本 适用于Tomcat。 第2章 账号管理、认证授权 2.1 账号 2.1.1 用户帐号设置 安全基线项目名称 安全基线项说明 检测操作步骤 1、参考配置操作 修改tomcat/conf/配置文件，修改或添加帐号。 2、补充操作说明 1、根据不同用户，取不同的名称。 应按照用户分配账号，避免不同用户间共享账号,提高安全性。 为不同的管理员分配不同的号 基线符合性判定依据 备注 询问管理员是否安装需求分配用户号 2.1.2 删除或锁定无效账号 安全基线项目名称 安全基线项说明 检测操作步骤 参考配置操作 修改tomcat/conf/配置文件，删除与工作无关的帐号。 例如tomcat1与运行、维护等工作无关，删除帐号： 基线符合性判定依据 备注 查看配置文件 删除或锁定无效的账号，减少系统安全隐患。 删除或锁定无效账号 2.2 认证 2.2.1 密码复杂度 安全基线项目名称 安全基线项说明 检测操作步骤 对于采用静态口令认证技术的设备，口令长度至少12位，包括数字、小写字母、大写字母和特殊符号4类中至少2类。 1、参考配置操作 在tomcat/conf/配置文件中设置密码 2、补充操作说明 密码复杂度