Tomcat系统安全基线规范

目　录

1 账号管理、认证授权

1.1.1 ELK-Tomcat-01-01-01

1.1.2 ELK-Tomcat-01-01-02

1.1.3 ELK-Tomcat-01-01-03

1.1.4 ELK-Tomcat-01-01-04

2 日志配置

2.1.1 ELK-Tomcat-02-01-01

3 通信协议

3.1.1 ELK-Tomcat-03-01-01

3.1.2 ELK-Tomcat-03-01-02

4 设备其他安全要求

4.1.1 ELK-Tomcat-04-01-01

4.1.2 ELK-Tomcat-04-01-02

4.1.3 ELK-Tomcat-04-01-03

1. 账号管理、认证授权
   1. 1.  ELK-Tomcat-01-01-01

编号	ELK-Tomcat-01-01-01
名称	为不同的管理员分配不同的账号
实施目的	应按照用户分配账号，避免不同用户间共享账号,提高安全性。
问题影响	账号混淆，权限不明确，存在用户越权使用的可能。
系统当前状态	记录tomcat/conf/tomcat-users.xml文件
实施步骤	1、参考配置操作 修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帐号。 2、补充操作说明 1、根据不同用户，取不同的名称。 2、Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。
回退方案	还原tomcat/conf/tomcat-users.xml文件
判断依据	询问管理员是否安装需求分配用户账号
实施风险	高
重要等级	★★★
备注

1. 1. 1.  ELK-Tomcat-01-01-02

编号	ELK-Tomcat-01-01-02
名称	删除或锁定无效账号
实施目的	删除或锁定无效的账号，减少系统安全隐患。
问题影响	允许非法利用系统默认账号
系统当前状态	记录tomcat/conf/tomcat-users.xml文件
实施步骤	1、参考配置操作 修改tomcat/conf/tomcat-users.xml