版本
./catalina.sh linux
version.bat win
1.确认是否使用了tomcat管理后台
我们先找到配置文件:tomcat主目录下/conf/server.xml
可以查看到连接端口,默认为8080
然后查看manager-gui管理页面配置文件,是否设置了用户登录
配置文件:tomcat主目录下/conf/tomcat-users.xml
如果有类似的如上语句则代表存在用户
当前我们还要查看tomcat主目录下/webapps目录,观察是否存在manager这个文件
身份鉴别
a应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
/conf/tomcat-user.xmll,问一下是否都在使用,是否和管理人员一一对应
b应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
非法登录:/conf/server.xml,顺带看一下日志格式,最下面的
failureCount(次),lockOutTime(秒)
连接超时:无措施
c当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
tomcat后台的访问方式即可,是使用http还是https的。
安全审计
a应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
/conf/logging.properties
/conf/server.xml
c应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
/var/log/tomcat或者tomcat/log ll 查看权限
d应对审计进程进行保护,防止未经授权的中断;
和主机一样
数据完整性
a应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
http还是
b应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
鉴别数据、重要配置数据、重要审计数据是否具有完整性校验措施
数据保密性
a应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
开启控制台,查看是否使用https若未开启远程管理不适用
b应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
开启控制台,明文存储 tomcat目录conf/tomcat-users,xml文件下 未开启则不适用
)
)
)
)
