【中间件安全】Tomcat 安全加固规范
1. 適用情況
適用于使用Tomcat進行部署的Web網(wǎng)站。
2. 技能要求
熟悉Tomcat配置操作,能夠利用Tomcat進行建站,并能針對站點使用Tomcat進行安全加固。
3. 前置條件
1、根據(jù)站點開放端口,進程ID,進程名稱,確認站點采用Tomcat進行部署;
2、找到Tomcat路徑:
方法一:開始->所有程序->Apache Tomcat->打開文件位置
方法二:window直接搜索Tomcat
方法三:任務管理器->進程-> tomcat進程->打開文件位置
方法四:D盾->工具->進程查看-> tomcat進程->打開文件位置
方法五:適用linux:切換到根路徑,搜索find –name *.jsp –print(方法同樣適用 查找網(wǎng)站根目錄)
4. 詳細操作
注意:建議實施項需要檢查,詢問管理員后方可配置,建議讓管理員自行配置,實施項為必做加固項。Tomcat控制臺必須確定是否對外開放,是否有遠程管理權限賬號:1、mageger文件夾是否存在;2、tomcat賬號是否可登陸。
4.1 Tomcat控制臺用戶配置
備份配置文件,修改tomcat/conf/tomcat-user.xml配置文件,將賬號進行注釋,
若業(yè)務系統(tǒng)需要使用tomcat管理后臺進行業(yè)務代碼發(fā)布和管理,建議修改默認admin用戶,且密碼長度不低于10位,必須包含大寫字母、特殊符號、數(shù)字組合,如下:
?
4.2 日志審計
備份配置文件,參考配置操作
編輯tomcat/conf/server.xml配置文件,在標簽中增加記錄日志功能
將以下內(nèi)容的注釋標記取消
?<valve classname="org.apache.catalina.valves.AccessLogValve" Directory="logs" prefix="localhost_access_log." suffix=".txt" Pattern="common" resloveHosts="false" />
4.3 自定義404錯誤頁面
(1) 在網(wǎng)站根目錄新建noFile.htm文件
(2) 查看并啟用tomcat/conf/web.xml文件中下列代碼:
<error-page>
<error-code>404</error-code>
<location>/noFile.htm</location>
</error-page>
4.4 最佳經(jīng)驗實踐
因tomcat配置不當,可能導致的安全問題,常見安全漏洞如:目錄瀏覽、webdav等
4.4.1 關閉目錄瀏覽
(1) 編輯tomcat/conf/web.xml配置文件,
<init-param>
??????? <param-name>listings</param-name>
??????? <param-value>true</param-value>
??? </init-param>
把true改成false
?(2)重新啟動tomcat服務
4.4.2 使用安全的HTTP請求
編輯tomcat/conf/web.xml配置文件,添加或修改文件如下所示:
<security-constraint>??
?? <web-resource-collection>??
????? <url-pattern>/*</url-pattern>??
????? <http-method>PUT</http-method>??
????? <http-method>DELETE</http-method>??
????? <http-method>OPTIONS</http-method>??
????? <http-method>TRACE</http-method>??
?? </web-resource-collection>??
?? <auth-constraint>??
?? </auth-constraint>??
</security-constraint>??
<login-config>??
?? <auth-method>BASIC</auth-method>??
</login-config>
4.4.3 限制IP訪問
打開tomcat/conf/server.xml,添加下面一行,重啟服務器即可:<value className="org.apache.catalina.values.RemoteAddrValue" allow="127.0.0.1" deny="" />
此行放在</Host>之前,只允許本地訪問。
例如:
<value className="org.apache.catalina.values.RemoteAddrValue" allow="192.168.1.1" deny="" />
<value className="org.apache.catalina.values.RemoteAddrValue" allow="192.168.1.*" deny="" />
4.4.4 登陸超時退出
備份配置文件,參考配置操作
編輯tomcat/conf/server.xml配置文件,修改超時時間為300秒
<Connector port="8080" maxHttpHeadSize="25" maxSpareThreads="75" enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="300" disableUploadTimeout="true" />
4.5 風險操作項
4.5.1 更改默認端口
(1)修改tomcat/conf/server.xml 配置文件,更改默認管理端口到8888
? <Connector
port="8888"??? maxHttpHeaderSize="8192" maxThreads="150"??
minSpareThreads="25" maxSpareThreads="75"、
enableLookups="false" redirectPort="8443" acceptCount="100"
? connectionTimeout="300" disableUploadTimeout="true" />
(2)重啟 tomcat 服務
4.5.2 補丁更新
根據(jù)tomcat版本漏洞庫查詢是否存在漏洞,如果存在漏洞請在http://httpd.tomcat.org下載最新穩(wěn)定版安裝
最后
歡迎關注個人微信公眾號:Bypass--,每周原創(chuàng)一篇技術干貨。?
總結
以上是生活随笔為你收集整理的【中间件安全】Tomcat 安全加固规范的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Apache安全加固规范
- 下一篇: 【中间件加固】Weblogic安全加固规