这里就谈谈等保2.0要求,对应到Apache Tomcat中间件的一些条款要求。
安装步骤略过,我们直接看等保中涉及的一些参数。
首先,做测评的时候我们先要记录相应的软件版本:
查看版本,在tomcat目录下执行/bin/catalina.sh version,可查看对应的软件版本信息
这是前期的资产情况,记录在系统构成中。
然后,再根据等保的对应的每条条款,确认到中间件中应该如何查询。
一、身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
首先针对身份鉴别这个控制点,如果Apache Tomcat开启了管理控制台,则此控制点需要进行测评,否则为不适用。
1.确认是否使用了tomcat管理后台
我们先找到配置文件:tomcat主目录下/conf/server.xml
可以查看到连接端口,默认为8080
然后查看manager-gui管理页面配置文件,是否设置了用户登录
配置文件:tomcat主目录下/conf/tomcat-users.xml
如果有类似的如上语句则代表存在用户
当前我们还要查看tomcat主目录下/webapps目录,观察是否存在manager这个文件
然后访问,默认界面为: