Tomcat Web服务器安全配置风险评估检查表

Tomcat Web服务器安全配置基线

目录

第1章概述 (1)

1.1目的 (1)

1.2适用范围 (1)

1.3适用版本 (1)

第2章账号管理、认证授权 (2)

2.1账号 (2)

2.1.1共享帐号管理 (2)

2.1.2无关帐号管理 (2)

2.2口令 (3)

2.2.1密码复杂度 (3)

2.2.2密码历史 (4)

2.3授权 (4)

2.3.1用户权利指派 (4)

第3章日志配置操作 (6)

3.1日志配置 (6)

3.1.1审核登录 (6)

第4章IP协议安全配置 (7)

4.1IP协议 (7)

4.1.1支持加密协议 (7)

第5章设备其他配置操作 (8)

5.1安全管理 (8)

5.1.1定时登出 (8)

5.1.2更改默认端口 (8)

5.1.3错误页面处理 (9)

5.1.4目录列表访问限制 (10)

第1章概述

1.1 目的

本文档规定了Tomcat WEB服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。

1.2 适用范围

本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。1.3 适用版本

4.x、

5.x、

6.x版本的Tomcat Web服务器。

第2章账号管理、认证授权2.1 账号

2.1.1共享帐号管理

2.1.2无关帐号管理

2.2 口令

2.2.1密码复杂度

2.2.2密码历史

2.3 授权

2.3.1用户权利指派

第3章日志配置操作3.1 日志配置

3.1.1审核登录

第4章IP协议安全配置4.1 IP协议

4.1.1支持加密协议

第5章设备其他配置操作5.1 安全管理

5.1.1定时登出

5.1.2更改默认端口

5.1.3错误页面处理

备注

5.1.4目录列表访问限制

安全基线项

目名称

Tomcat目录列表安全基线要求项安全基线编

号

SBL-Tomcat-05-01-04

安全基线项

说明

禁止tomcat列表显示文件

检测操作步

骤1、参考配置操作

(1) 编辑tomcat/conf/web.xml配置文件，

listings true

把true改成false

(2)重新启动tomcat服务

基线符合性判定依据1、判定条件

当WEB目录中没有默认首页如index.html,index.jsp等文件时，不会列出目录内容

2、检测操作

直接访问http://ip:8800/webadd

备注