Tomcat 系统安全配置基线 目 录 第 1 章 概述 .1 1.1 目的 .1 1.2 适用范围 .1 1.3 适用版本 .1 第 2 章 账号管理、认证授权 .1 2.1 账号 .1 2.1.1 用户帐号设置 .1 2.1.2 删除或锁定无效账号 .2 2.2 认证 .2 2.2.1 密码复杂度 .2 2.2.2 权限最小化 .3 第 3 章 日志审计 .4 3.1 日志审核 .4 第 4 章 其他配置操作 .5 4.1.1 登陆超时退出 .5 4.1.2 自定义错误信息 .6 4.1.3 限制访问 IP .7 4.1.4 禁止目录遍历 .7 第 5 章 持续改进 .8 第 1 章 概述 1.1 目的 本文规定了 Tomcat 系统应当遵循的操作安全性设置标准,本文档旨在指导 Tomcat 系统管理人 员或安全检查人员进行 Tomcat 系统的安全合规性检查和配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。 本配置标准适用的范围包括: Tomcat 系统。 1.3 适用版本 适用于 Tomcat。 第 2 章 账号管理、认证授权 2.