控制檯弱密碼檢查 | 身份鑑別
描述
tomcat-manger是Tomcat提供的web應用熱部署功能,該功能具有較高權限,會直接控制Tomcat應用,應儘量避免使用此功能。如有特殊需求,請務必確保爲該功能配置了強口令
加固建議
編輯Tomcat根目錄下的配置文件conf/tomcat-user.xml,修改user節點的password屬性值爲複雜密碼, 密碼應符合複雜性要求:
1、長度8位以上
2、包含以下四類字符中的三類字符:
英文大寫字母(A 到 Z)
英文小寫字母(a 到 z)
10 個基本數字(0 到 9)
非字母字符(例如 !、$、#、%、@、^、&)
3、避免使用已公開的弱密碼,如:abcd.1234 、admin@123等
操作時建議做好記錄或備份
禁止自動部署 | 服務配置
描述
配置自動部署,容易被部署惡意或未經測試的應用程序,應將其禁用
加固建議
修改Tomcat 根目錄下的配置文件conf/server.xml,將host節點的autoDeploy屬性設置爲“false”,如果host的deployOnStartup屬性(如沒有deployOnStartup配置可以忽略)爲“true”,則也將其更改爲“false”
操作時建議做好記錄或備份
Tomcat目錄權限檢測 | 訪問控制
描述
在運行Tomcat服務時,避免使用root用戶運行,tomcat目錄(catalina.home、 catalina.base目錄)所有者應改爲非root的運行用戶
加固建議
使用chown -R <Tomcat啓動用戶所屬組>:<Tomcat啓動用戶> <Tomcat目錄>修改tomcat目錄文件所有者,如chown -R tomcat:tomcat /usr/local/tomcat
操作時建議做好記錄或備份
Tomcat進程運行權限檢測 | 訪問控制
描述
在運行Internet服務時,最好儘可能避免使用root用戶運行,降低攻擊者拿到服務器控制權限的機會。
加固建議
創建低權限的賬號運行Tomcat,操作步驟如下:
--新增tomcat用戶
useradd tomcat
--將tomcat目錄owner改爲tomcat
chown -R tomcat:tomcat /opt/tomcat
-- 停止原來的tomcat服務
--切換到tomcat用戶
su - tomcat
--重新啓動tomcat
/opt/tomcat/bin/startup.sh
操作時建議做好記錄或備份
禁止顯示異常調試信息 | 服務配置
描述
當請求處理期間發生運行時錯誤時,ApacheTomcat將向請求者顯示調試信息。建議不要向請求者提供此類調試信息。
加固建議
在Tomcat根目錄下的conf/web.xml文件裏面的web-app添加子節點:<error-page><exception-type>java.lang.Throwable</exception-type><location>/error.jsp</location></error-page>,在webapps目錄下創建error.jsp,定義自定義錯誤信息
操作時建議做好記錄或備份
開啓日誌記錄 | 安全審計
描述
Tomcat需要保存輸出日誌,以便於排除錯誤和發生安全事件時,進行分析和定位
加固建議
1、修改Tomcat根目錄下的conf/server.xml文件。
2、取消Host節點下Valve節點的註釋(如沒有則添加)。
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log" suffix=".txt" pattern="%h %l %u %t "%r" %s %b" />
3、重新啓動Tomcat
操作時建議做好記錄或備份
禁止Tomcat顯示目錄文件列表 | 服務配置
描述
Tomcat允許顯示目錄文件列表會引發目錄遍歷漏洞
加固建議
修改Tomcat 跟目錄下的配置文件conf/web.xml,將listings的值設置爲false。
<param-name>listings</param-name> <param-value>false</param-value>
操作時建議做好記錄或備份
刪除項目無關文件和目錄 | 訪問控制
描述
Tomcat安裝提供了示例應用程序、文檔和其他可能不用於生產程序及目錄,存在極大安全風險,建議移除
加固建議
請刪除Tomcat示例程序和目錄、管理控制檯等,即從Tomcat根目錄的webapps目錄,移出或刪除docs、examples、host-manager、manager目錄。
操作時建議做好記錄或備份
避免爲tomcat配置manager-gui弱口令 | 訪問控制
描述
tomcat-manger是Tomcat提供的web應用熱部署功能,該功能具有較高權限,會直接控制Tomcat應用,應儘量避免使用此功能。如有特殊需求,請務必確保爲該功能配置了強口令
加固建議
編輯Tomcat根目錄下的配置文件conf/tomcat-user.xml,修改user節點的password屬性值爲複雜密碼, 密碼應符合複雜性要求:
1、長度8位以上
2、包含以下四類字符中的三類字符:
英文大寫字母(A 到 Z)
英文小寫字母(a 到 z)
10 個基本數字(0 到 9)
非字母字符(例如 !、$、#、%、@、^、&)
3、避免使用已公開的弱密碼,如:abcd.1234 、admin@123等
操作時建議做好記錄或備份
限制服務器平臺信息泄漏 | 服務配置
描述
限制服務器平臺信息泄漏會使攻擊者更難確定哪些漏洞會影響服務器平臺。
加固建議
1、進入Tomcat安裝主目錄的lib目錄下,比如 cd /usr/local/tomcat7/lib
2、執行:jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties,修改文件ServerInfo.properties中的server.info和server.number的值,如分別改爲:Apache/11.0.92、11.0.92.0 3、執行:jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties
4、重啓Tomcat服務
操作時建議做好記錄或備份
AJP協議文件讀取與包含嚴重漏洞 | 入侵防範
描述
Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。該漏洞是由於Tomcat AJP協議存在缺陷而導致,攻擊者利用該漏洞可通過構造特定參數,讀取服務器webapp下的任意文件。若目標服務器同時存在文件上傳功能,攻擊者可進一步實現遠程代碼執行。漏洞影響非常嚴重,請及時採取防護措施修復。
加固建議
可使用以下方式修復加固
- 升級到以下安全版本進行防護
版本號 下載地址
Apache Tomcat 7.0.100 http://tomcat.apache.org/download-70.cgi
Apache Tomcat 8.5.51 http://tomcat.apache.org/download-80.cgi
Apache Tomcat 9.0.31 http://tomcat.apache.org/download-90.cgi
- 若不需使用AJP協議,可直接關閉AJP Connector,或將監聽地址改爲僅監聽本機localhost,編輯配置文件
server.xml,將AJP協議的Connector註釋掉或刪除,並重啓服務。
<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->
操作時建議做好記錄或備份