【中间件安全】Tomcat 安全加固规范

1. 适用情况

适用于使用Tomcat进行部署的Web网站。

2. 技能要求

熟悉Tomcat配置操作，能够利用Tomcat进行建站，并能针对站点使用Tomcat进行安全加固。

3. 前置条件

1、根据站点开放端口，进程ID，进程名称，确认站点采用Tomcat进行部署；

2、找到Tomcat路径：

方法一：开始->所有程序->Apache Tomcat->打开文件位置

方法二：window直接搜索Tomcat

方法三：任务管理器->进程-> tomcat进程->打开文件位置

方法四：D盾->工具->进程查看-> tomcat进程->打开文件位置

方法五：适用linux：切换到根路径，搜索find –name *.jsp –print（方法同样适用 查找网站根目录）

4. 详细操作

注意：建议实施项需要检查，询问管理员后方可配置，建议让管理员自行配置，实施项为必做加固项。Tomcat控制台必须确定是否对外开放，是否有远程管理权限账号：1、mageger文件夹是否存在；2、tomcat账号是否可登陆。

4.1 Tomcat控制台用户配置

备份配置文件，修改tomcat/conf/tomcat-user.xml配置文件，将账号进行注释，

若业务系统需要使用tomcat管理后台进行业务代码发布和管理，建议修改默认admin用户，且密码长度不低于10位，必须包含大写字母、特殊符号、数字组合，如下：

 

4.2 日志审计

备份配置文件，参考配置操作

编辑tomcat/conf/server.xml配置文件，在标签中增加记录日志功能

将以下内容的注释标记取消

 

4.3 自定义404错误页面

(1) 在网站根目录新建noFile.htm文件

(2) 查看并启用tomcat/conf/web.xml文件中下列代码:

404

/noFile.htm

4.4 最佳经验实践

因tomcat配置不当，可能导致的安全问题，常见安全漏洞如：目录浏览、webdav等

4.4.1 关闭目录浏览

(1) 编辑tomcat/conf/web.xml配置文件，

        listings

        true

   

把true改成false

 (2)重新启动tomcat服务

4.4.2 使用安全的HTTP请求

编辑tomcat/conf/web.xml配置文件，添加或修改文件如下所示：

  

     

      /*  

      PUT  

      DELETE  

      OPTIONS  

      TRACE  

     

     

     

  

  

   BASIC  

4.4.3 限制IP访问

打开tomcat/conf/server.xml，添加下面一行，重启服务器即可：

此行放在之前，只允许本地访问。

例如：

1. 只允许192.168.1.1访问：

1. 只允许192.168.1.0/24访问

4.4.4 登陆超时退出

备份配置文件，参考配置操作

编辑tomcat/conf/server.xml配置文件，修改超时时间为300秒

4.5 风险操作项

4.5.1 更改默认端口

（1）修改tomcat/conf/server.xml 配置文件，更改默认管理端口到8888

 

port="8888"    maxHttpHeaderSize="8192" maxThreads="150"  

minSpareThreads="25" maxSpareThreads="75"、

enableLookups="false" redirectPort="8443" acceptCount="100"

  connectionTimeout="300" disableUploadTimeout="true" />

（2）重启 tomcat 服务

4.5.2 补丁更新

根据tomcat版本漏洞库查询是否存在漏洞，如果存在漏洞请在http://httpd.tomcat.org下载最新稳定版安装

最后

欢迎关注个人微信公众号：Bypass--，每周原创一篇技术干货。