Tomcat系统安全基线规范

编号

ELK-Tomcat-01-01-01

名称

为不同的管理员分配不同的账号

实施目的

应按照用户分配账号，避免不同用户间共享账号,提高安全性。

问题影响

账号混淆，权限不明确，存在用户越权使用的可能。

系统当前状态

记录tomcat/conf/tomcat-users.xml文件

实施步骤

1、参考配置操作

修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帐号。

<user username=”tomcat” password=” Tomcat!234” roles=”admin”>

2、补充操作说明

1、根据不同用户，取不同的名称。

2、Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。

回退方案

还原tomcat/conf/tomcat-users.xml文件

判断依据

询问管理员是否安装需求分配用户账号

实施风险

高

重要等级

★★★

备注

编号

ELK-Tomcat-01-01-02

名称

删除或锁定无效账号

实施目的

删除或锁定无效的账号，减少系统安全隐患。

问题影响

允许非法利用系统默认账号

系统当前状态

记录tomcat/conf/tomcat-users.xml文件

实施步骤

1、参考配置操作

修改tomcat/conf/tomcat-users.xml