Tomcat系统安全配置基线CompanyDocumentnumber:WTUT-WT88Y-W8BBGB-BWYTT-19998Tomcat系统安全配置基线\=\第1章概述1
1目的本文规定了Tomcat系统应当遵循的操作安全性设置标准,本文档旨在指导Tomcat系统管理人员或安全检查人员进行Tomcat系统的安全合规性检查和配置
2适用范围本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员本配置标准适用的范围包括:Tomcat系统
3适用版本适用于Tomcat
第2章账号管理、认证授权2
1账号2・1・1用户帐号设置安全基线项目名称为不同的管理员分配不同的号安全基线项说明应按照用户分配账号,避免不同用户间共享账号提高安全性
检测操作步骤1、参考配置操作修改tomcat/conf/配置文件,修改或添加帐号
2、补充操作说明1、根据不同用户,取不同的名称
基线符合询问管理员是否安装需求分配用户号性判定依据备注2・1・2删除或锁定无效账号安全基线项目名称删除或锁定无效账号安全基线项说明删除或锁疋无效的账号,减少系统女全隐患
检测操作步骤参考配置操作修改tomcat/conf/配置文件,删除与工作无关的帐号
例如tomcat1与运行、维护等工作无关,删除帐号:基线符合性判定依据查看配置文件备注22认证2
1密码复杂度安全基线项目名称密码复杂度安全基线项说明对于采用静态口令认证技术的设备,口令长度至少12位,包括数字、小写字母、大写字母和特殊符号4类中至少2类
检测操作步骤1、参考配置操作在tomcat/conf/配置文件中设置密码2、补充操作说明口令要求:长度至少12位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类
基线符合性判定依据检查配置文件查看tomcat/conf/文件策略设置备注2・2・2权限最小化安全基线项目名称权限最小化安全基