Tomcat等保测评作业指导书（deepseek版）

前言

今天突然想到能否将deepseek应用在等保测评现场提升工作效能呢，所以就对着deepseek咨询了一下，后面是deepseek满血版本的回复，请大家品鉴。

===

工具使用：

由于deepseek.com比较忙碌，目前各大厂商都支持deepseek-R1满血版了，本文中使用百度AI，浏览器打开 //chat.baidu，

===

左下角同时点击“DeepSeek-R1满血版”和“联网搜索”，联网搜索的过程会把检索到的参考链接逐一列出，相当同时进行了百度检索。

===

问题是：

我是一名等级保护测评师，需要根据等保2.0三级系统测评要求逐项分解做出tomcat的等保测评作业指导书。

===

一、身份鉴别 🔍

身份标识唯一性

检查 tomcat-users.xml（路径：/conf/tomcat-users.xml），确认用户身份唯一，禁用默认账户（如 admin、role1） [1,3]。通过系统命令 cat /etc/shadow 检查是否存在空口令账户 [1,5]。检查项：检查 tomcat-users.xml 确认用户身份唯一性及默认账户禁用情况执行 cat /etc/shadow 检查空口令账户判定标准：存在默认账户或空口令直接判定为高风险 [1,4]。

密码复杂度与更换周期

检查系统级策略（如 /etc/pam.d/system-auth），密码需包含数字、字母、特殊字符且长度≥8 位，更换周期≤90 天 [3,5]。若 Tomcat 独立管理，需通过插件实现复杂度策略 [1,5]。检查项：查看系统级策略（如 /etc/pam.d/system-auth）的密码复杂度和更换周期设置若 Tomcat 独立管理，检查复杂度策略插件情况判定标准：无密码复杂度策略视为不合规 [3,5]。

===

二、访问控制 🔒

权限最小化

检查 tomcat-users.xml 角色分配（如 manager-gui），仅授权必要用户 [3,4]。删除默认示例账户（如 tomcat、both） [1,4]。检查项：检查 tomcat-users.xml 的角色分配情况确认默认示例账户是否已删除判定标准：存在冗余角色或未授权访问管理界面视为不合规 [3,4]。

访问路径隔离

确认 server.xml 中不同应用部署在独立 Context 路径 [3,4]。限制管理界面（如 /manager/html）访问 IP，修改 webapps/manager/META-INF/context.xml 中的 RemoteAddrValve [3,4]。检查项：查看 server.xml 中应用的 Context 路径部署情况检查 webapps/manager/META-INF/context.xml 中 RemoteAddrValve 的修改情况判定标准：未隔离应用路径或未限制管理 IP 视为高风险 [3,4]。

===

三、安全审计 📜

日志记录完整性

检查 server.xml 中 Valve 组件，确保访问日志记录时间、IP、操作路径，错误日志级别设为 WARNING 以上 [3,5]。检查项：检查 server.xml 中 Valve 组件的访问日志记录信息确认错误日志级别设置情况判定标准：日志缺失关键信息或保存周期 <6 个月视为不合规 [3,5]。

日志保护

检查 logs 目录权限（建议 640，属主为 tomcat 用户） [5]。验证日志是否备份至集中管理平台（如 ELK） [5]。检查项：检查 logs 目录的权限设置确认日志是否备份至集中管理平台判定标准：日志权限开放或未备份视为风险项 [5]。

===

四、入侵防范 🛡️

漏洞修复与加固

通过 catalina.sh version 确认 Tomcat 版本是否为最新稳定版（如 9.0.85+），修复已知漏洞（如 CVE-2020-1938） [1,3]。删除默认示例程序（webapps/examples、webapps/docs），禁用 AJP 协议（注释 server.xml 中 8009 端口） [1,3]。检查项：执行 catalina.sh version 确认 Tomcat 版本检查默认示例程序是否删除及 AJP 协议是否禁用判定标准：使用漏洞版本或未清理默认文件视为高风险 [1,3]。

---

恶意代码防范

设置上传目录权限为 644，禁止执行权限（chmod -x） [5]。部署防病毒软件监控 webapps 目录 [5]。检查项：检查上传目录的权限设置情况确认是否部署防病毒软件监控 webapps 目录判定标准：上传目录可执行或未部署防护视为不合规 [5]。

===

五、数据完整性 🔐

传输加密

检查 server.xml 中 HTTPS 配置（如 SSLProtocol=“TLSv1.2”），禁用弱加密算法（如 SSLv2） [1,3]。检查项：检查 server.xml 中的 HTTPS 配置情况判定标准：未启用 HTTPS 或使用自签名证书视为不合规 [1,5]。

会话管理

在 context.xml 中配置会话超时（如 session-timeout=“30”），会话 Cookie 需设置 Secure 和 HttpOnly 属性 [5]。检查项：查看 context.xml 中的会话超时配置确认会话 Cookie 的属性设置情况判定标准：会话超时未配置或 Cookie 属性缺失视为风险项 [5]。

===

六、高风险场景 ⚠️

管理界面暴露公网

整改建议：限制访问 IP，集成双因素认证 [3,4]。

已知漏洞未修复

整改建议：升级至安全版本，定期漏洞扫描 [1,4]。

配置文件示例 📄

server.xml HTTPS 配置

<Connector      port="8443"      protocol="HTTP/1.1"`     `SSLEnabled="true"      keystoreFile="/path/to/keystore.jks"`      `SSLProtocol="TLSv1.2"`      `ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,..."  />

tomcat-users.xml 角色配置

<role rolename="manager-gui"/> <user username="admin"` `password="ComplexPwd@123" roles="manager-gui"/>

注：测评需结合现场环境，重点核查默认配置、漏洞版本、日志保护等高风险项 [1,3]。

结语

与人工逐一对照测评项做的作业指导手册相比的话，deepseek反馈的结果还有些不圆满，这个时候可以适当参考返回的关联网页链接（文字中[1,3]等都是相关的链接），就基本能掌握测评对象的测评方法论和测评细节。大家可以使用这个办法举一反三，检索其他需要的知识，比如如何对tomcat进行加固等等。如有更好的提问方式，欢迎留言探讨。

网络安全工程师(白帽子)企业级学习路线

第一阶段：安全基础（入门）

第二阶段：Web渗透（初级网安工程师）

第三阶段：进阶部分（中级网络安全工程师）