版本

./catalina.sh linux

version.bat   win

1.确认是否使用了tomcat管理后台

我们先找到配置文件：tomcat主目录下/conf/server.xml

可以查看到连接端口，默认为8080

然后查看manager-gui管理页面配置文件，是否设置了用户登录

配置文件：tomcat主目录下/conf/tomcat-users.xml

如果有类似的如上语句则代表存在用户

当前我们还要查看tomcat主目录下/webapps目录，观察是否存在manager这个文件

身份鉴别

a应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

/conf/tomcat-user.xmll，问一下是否都在使用，是否和管理人员一一对应

b应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

非法登录：/conf/server.xml,顺带看一下日志格式，最下面的

failureCount（次），lockOutTime（秒）

连接超时：无措施

c当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

tomcat后台的访问方式即可，是使用http还是https的。

安全审计

a应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

b审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

/conf/logging.properties

/conf/server.xml

c应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

/var/log/tomcat或者tomcat/log   ll 查看权限

d应对审计进程进行保护，防止未经授权的中断；

和主机一样

数据完整性

a应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

http还是

b应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

鉴别数据、重要配置数据、重要审计数据是否具有完整性校验措施

数据保密性

a应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

开启控制台，查看是否使用https若未开启远程管理不适用

b应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

开启控制台，明文存储 tomcat目录conf/tomcat-users,xml文件下 未开启则不适用