风险评估：Tomcat的安全设置，Tomcat安全基线查抄加固

「作者简介」：冬奥会网络安全中国代表队，CSDN Top100，就职奇安信多年，以实战工作为基础著作 《网络安全自学教程》，适合基础单薄的同砚系统化的学习网络安全，用最短的时间掌握最焦点的技术。
  

这一章节我们需要知道Tomcat基线查抄的标准和加固方式。

  
1、删除默认页面

删除 tomcat安装目录\webapps\ 目录下的 docs、examples 文件夹。这两个是Tomcat提供的示例步伐。

2、控制台口令

http://127.0.0.1:8080/manager/html 可以访问tomcat的控制台。

1）如果不利用控制台，可以删除tomcat安装目录\webapps\ 目录下的 manager、host-manager 文件夹。

2）如果利用控制台，可以设置复杂的密码。tomcat安装目录\conf\tomcat-users.xml 。

1. <tomcat-users >
2. <user username="tomcat" password="复杂的密码" roles="manager-gui"/>

复制代码

3、shutdown口令

shutdown.sh 关闭tomcat服务是连接8005端口实行SHUTDOWN命令实现的。
我们直接telnet 8005端口，实行SHUTDOWN命令，也可以关闭Tomcat服务。
tomcat安装目录\conf\server.xml 设置复杂的shutdown口令。

扩展：Tomcat端口作用

• 8005：Telnet8005端口实行shutdown口令关闭Tomcat服务。
  
• 8009：httpd利用ajp协议通过8009端口反向代理Tomcat。
  
• 8080：http监听端口。
  
• 8443：https监听端口，默认不开启，需要提供证书。
  

4、禁用静态目录列表

tomcat安装目录\conf\web.xml 的 listings 设置为 false，重启Tomcat 服务见效。

如果开启静态目录列表，直接访问目录，并且目录下没有默认主页时，就会列出目录下的所有文件，导致目录遍历。

5、开启访问日记

Tomcat 7 开始默认开启访问日记。手动开启到 tomcat安装目录\conf\server.xml 取消 AccessLogValve 的注释，重启见效。directory是目录位置、perfix是日记文件名、pattern是日记格式。

tomcat安装目录\logs\ 查察 access日记。具体的日记路径和文件名取决于上一步server.xml的设置。

扩展：pattern日记格式，- 表现空。

• %a：远程IP。
  
• %A：当地IP。
  
• %b：发送的字节数。
  
• %h：远程主机名。
  
• %H：哀求协议。
  
• %l：远程用户名。
  
• %m：哀求的方法（GET、POST等）。
  
• %p：担当哀求的当地端口。
  
• %q：查询字符串，如果存在，有一个前置的 ? 。
  
• %r：哀求的第一行（哀求方法和哀求的URI）。
  
• %s：HTTP响应状态码(200、404等)。
  
• %S：用户的session ID。
  
• %t：日期和时间，Common Log Format格式。
  
• %u：被认证的远程用户。
  
• %U：哀求URL路径。
  
• %v：当地服务名。
  
• %D：处置惩罚哀求的时间，毫秒。
  
• %T：处置惩罚哀求的时间，秒。
  
• %I：当前哀求的线程名。
  

6、禁用HTTP方法

Tomcat 7.0.0 - 7.0.79 的readonly默认未false，允许PUT、DELETE等哀求方式，会造成远程代码实行，好比 CVE-2017-12615。
新版本 readonly 默以为 true，并且不表现这一项。查抄 tomcat安装目录\conf\web.xml，readonly 不能为 false。

7、修改banner信息

系统的 banner 信息充当欢迎语的作用，会泄露服务范例、版本号等信息。
1）HEAD哀求获取的响应头信息，大概会暴漏版本号。

到 tomcat安装目录\conf\server.xml 改server的值大概删掉这个字段。一些新版本优化掉了server字段。

2）页面访问报错时，会泄露版本。

tomcat安装目录\lib\catalina.jar\org\apache\catalina\util\ServerInfo.properties 修改server.info 和 server.number。

8、关闭热摆设

Tomcat 7 开始默认开启自动摆设，也就是热摆设，会自动查抄webapps目录下的的新文件并重新摆设web步伐。否则就需要重启Tomcat才能重新加载。
tomcat安装目录\conf\server.xml Host 的 autoDeploy 设置成 false，关闭热摆设。

9、降低权限

Tomcat 安装目录的权限改成非root用户。利用非 root 用户启动 Tomcat。

1. # 创建tomcat用户
2. useradd tomcat       
3. # Tomcat安装目录的所有者改为tomcat
4. chown -R tomcat:tomcat /opt/tomcat
5. # 停止Tomcat
6. /opt/tomcat/bin/shutdown.sh
7. # 切换tomcat用户
8. su tomcat
9. # 以tomcat用户的权限运行Tomcat
10. /opt/tomcat/bin/startup.sh

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。