当前位置: 首页 > news >正文

数据库与中间件使用及安全基础 20 道选填练习题

一、单选题(12 道)

1 下列哪一项属于 Tomcat 管理控制台 IP 限制核查对应的配置文件

A tomcat-users.xml

B manager/META-INF/context.xml

C server.xml

D web.xml

答案:B

解析:管理后台 IP 白名单 RemoteAddrValve 配置存放于 webapps/manager/META-INF/context.xml;tomcat-users.xml 用于账号密码配置,server.xml 用于端口、日志、AJP、HTTPS 全局配置。

2 Tomcat 高危漏洞 Ghostcat 对应的漏洞编号是

A CVE-2020-1938

B CVE-2021-41773

C CVE-2017-12615

D CVE-2019-0232

答案:A

解析:文档明确标注 AJP 协议漏洞 Ghostcat 编号为 CVE-2020-1938,该漏洞可读取服务器任意文件。

3 等保合规要求审计日志最低留存时长为

A 30 天

B 90 天

C 180 天

D 365 天

答案:C

解析:统一基线要求日志留存不少于 180 天(6 个月),满足等保安全事件追溯审计要求。

4 MySQL 8.0 推荐使用的高安全身份认证插件是

A mysql_native_password

B caching_sha2_password

C sha1_password

D md5_password

答案:B

解析:加固规范要求 default_authentication_plugin=caching_sha2_password,废弃老旧低安全的 mysql_native_password 插件。

5 Tomcat 中用于存放管理员账号、密码、角色配置的文件是

A server.xml

B context.xml

C tomcat-users.xml

D catalina.properties

答案:C

解析:tomcat-users.xml 为身份鉴别核心配置文件,用于定义后台登录账号、密码、管理角色。

6 等保标准中企业级密码最小长度基线为

A 8 位

B 10 位

C 14 位

D 16 位

答案:C

解析:基础密码长度最低 8 位,等保合规企业落地强制要求密码长度≥14 位,且包含至少三类字符。

7 抵御 MySQL 暴力破解,登录失败阈值建议设置为多少次

A 3 次

B 5 次

C 10 次

D 15 次

答案:B

解析:加固规范配置连续登录失败阈值为 5 次,失败后触发 1000ms 连接延迟,阻断爆破工具批量尝试。

8 Tomcat 关闭 AJP 协议的正确配置方式为

A 修改 port="8080"

B 注释 AJP 连接器或设置 port="-1"

C 删除 server.xml 文件

D 修改 shutdown 端口为 8009

答案:B

解析:AJP 默认端口 8009,业务不使用时注释对应 Connector 标签,或设置 port="-1" 永久禁用端口,消除 Ghostcat 漏洞风险。

9 MySQL 防止本地文件注入攻击需要关闭哪项参数

A skip-name-resolve

B local_infile

C max_connections

D general_log

答案:B

解析:local_infile=OFF 可禁用 load data 读取本地文件的能力,防御本地文件读取类注入漏洞。

10 Tomcat 隐藏服务版本信息需要在 Connector 中增加哪项参数

A hidden="true"

B server="Unknown"

C version="none"

D mask="yes"

答案:B

解析:在 server.xml 的 HTTP 连接器添加 server="Unknown",响应头不再返回 Tomcat 版本标识,避免针对性漏洞扫描。

11 MySQL 强制 SSL 加密传输的配置参数为

A have_ssl=ON

B require_secure_transport=ON

C ssl=enable

D tls_force=1

答案:B

解析:require_secure_transport=ON 会拦截所有明文连接,强制客户端使用 SSL/TLS 加密链路访问数据库。

12 Tomcat 访问日志权限合规配置值为

A 600

B 640

C 750

D 777

答案:B

解析:日志文件权限设置 640,仅属主可读写、属组只读,其他用户无任何访问权限,防止审计日志被篡改泄露。

二、多选题(4 道)

13 Tomcat 全量访问日志 Pattern 必须包含的审计字段有

A % h 客户端源 IP

B % t 访问时间

C % u 登录用户

D % r 请求内容

E % s 响应状态码

答案:ABCDE

解析:等保审计要求日志完整记录源 IP、时间、操作用户、请求报文、响应状态,用于事后攻击行为追溯。

14 MySQL 安全审计需要开启的日志类型包含

A general_log 通用全量操作日志

B slow_query_log 慢查询日志

C error_log 错误日志

D binary_log 二进制日志

答案:AB

解析:加固规范明确开启 general_log 记录所有操作行为,slow_query_log 捕获耗时过长的风险 SQL,满足等保审计要求。

15 Tomcat 目录与传输安全管控包含哪些措施

A 配置 listings=false 关闭目录浏览

B 删除 docs、examples 示例文件夹

C 启用 TLS1.2 及以上加密协议

D 开启 AJP 协议 8009 端口

答案:ABC

解析:开启 AJP 端口会引入 Ghostcat 高危漏洞,不属于加固措施;其余三项均为目录与传输加固标准操作。

16 MySQL 身份鉴别强密码策略要求包含

A validate_password.policy=STRONG

B 密码有效期 90 天强制更换

C 最小长度 14 位

D 登录失败 5 次触发连接延迟

答案:ABCD

解析:四项均为 MySQL 等保身份鉴别加固基线,兼顾密码复杂度、有效期、防暴力破解多重防护。

三、填空题(4 道)

17 Tomcat 的 shutdown 端口加固要求绑定仅________本地回环地址访问。

答案:127.0.0.1

解析:限制关闭端口仅本机可访问,防止外部攻击者远程发送关闭指令停止中间件服务。

18 中间件在等保 2.0 体系中归属于________管控范畴。

答案:安全计算环境

解析:文档定义 Tomcat 等应用中间件归属安全计算环境,重点核查身份鉴别、访问控制、审计、加密。

19 MySQL 关闭域名反向解析、规避 DNS 欺骗攻击的参数配置为________=ON。

答案:skip-name-resolve

解析:开启该参数不再反向解析客户端 IP 对应的域名,消除 DNS 欺骗风险,同时提升数据库连接性能。

20 Tomcat 程序目录合规权限基线配置数值为________。

答案:750

解析:750 权限仅管理员与授权业务组可进入目录,其他用户无访问、执行权限,防止越权读取配置与源码。

http://www.jsqmd.com/news/1112531/

相关文章:

  • RAG 系统评测:检索命中和答案正确要分开看
  • AI 无障碍评审:让界面被看见,也能被读懂
  • 缓存一致性实践:删除缓存不是银弹
  • 2026届毕业生必备AI工具:论文求职效率全攻略
  • AI 存储异常检测:先定义指标拓扑,再谈智能告警
  • Rust FFI 包装推理库:unsafe 边界要像防火墙一样清楚
  • Home Assistant Operating System终极方案:如何构建专业级智能家居操作系统?
  • LV30条码扫描器与PIC18F27K40微控制器的集成与优化
  • AI 日志摘要:别把关键上下文压没了
  • GraphQL 成本控制:灵活查询也要有防火墙
  • ASP.NET 8 Cookie身份验证实现与安全实践
  • SpringBoot+MySQL构建云端课堂系统的实践指南
  • 我的编程经历与我所热爱的游戏服务端开发
  • 一种让图像生成模型懂得自我纠错的新技术
  • 专知智库OPC研究院——帮助每一个有意义的想法,创世为有生命力的细胞公司
  • 6轴MEMS传感器与微控制器的三维运动跟踪方案
  • 创业团队技术债:该借,但要写借条
  • HPA 扩缩容:CPU 指标不够,业务队列也要进来
  • 影刀RPA新手教程:鼠标拖拽完全指南——让影刀帮你拖动文件和界面元素
  • 2026编程LLM选型指南:基准、场景与自验证
  • LeetCode 高频题:双指针不是模板,是单调关系
  • Go Wind UBA 拆解系列 - 多租户与安全:两套隔离机制的边界
  • Skywalking分布式监控部署与SpringBoot集成实战
  • 【计算机Java毕业设计案例】基于 SpringBoot 的水务应急预案管理与智能调度系统的设计与实现 基于 SpringBoot 的水务运行大数据分析与应急决策系统(程序+文档+讲解+定制)
  • 【每天认识一个国家 | 法国】
  • 医养智伴APP的设计与开发
  • 情绪类 AI 的安全分级:先识别风险,再决定回应方式
  • Device Tree 调试:外设不工作,先别急着改驱动
  • AI 后端队列背压:请求堆住时,系统要会说不
  • Java计算机毕设之基于学习行为分析的自适应课程推荐系统的设计与实现 基于 SpringBoot 的在线教学资源个性化推荐系统(完整前后端代码+说明文档+LW,调试定制等)