Apache Tomcat中间件加固安全策略

开启日志记录

Tomcat需要保存输出日志,以便于排除错误和发生安全事件时,进行分析和定位
1、修改Tomcat根目录下的conf/server.xml文件。
2、取消Host节点下Valve节点的注释(如没有则添加)。
3、重新启动Tomcat
操作时建议做好记录或备份

禁止自动部署

配置自动部署,容易被部署恶意或未经测试的应用程序,应将其禁用
修改Tomcat 根目录下的配置文件conf/server.xml,将host节点的autoDeploy属性设置为“false”,如果host的deployOnStartup属性(如没有deployOnStartup配置可以忽略)为“true”,则也将其更改为“false”
操作时建议做好记录或备份

目录权限检测

在运行Tomcat服务时,避免使用root用户运行,tomcat目录(catalina.home、 catalina.base目录)所有者应改为非root的运行用户
使用chown -R : 修改tomcat目录文件所有者,如chown -R tomcat:tomcat /usr/local/tomcat
操作时建议做好记录或备份

版本更新

当前tomcat版本较旧
升级Tomcat为新版
操作时建议做好记录或备份

AJP协议文件读取漏洞

Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。漏洞影响非常严重,请及时采取防护措施修复。

  1. 升级到以下安全版本进行防护
  2. 若不需使用AJP协议,可直接关闭AJP Connector,或将监听地址改为仅监听本机localhost 编辑配置文件server.xml,将AJP协议的Connector注释掉或删除,并重启服务。

禁止显示异常调试信息

当请求处理期间发生运行时错误时,ApacheTomcat将向请求者显示调试信息。建议不要向请求者提供此类调试信息。
在Tomcat根目录下的conf/web.xml文件里面的web-app添加子节点:java.lang.Throwable/error.jsp,在webapps目录下创建error.jsp,定义自定义错误信息
操作时建议做好记录或备份

你可能感兴趣的:(环境搭建专栏,apache,tomcat,中间件)