1. 适用情况
适用于使用Tomcat进行部署的Web网站。
2. 技能要求
熟悉Tomcat配置操作,能够利用Tomcat进行建站,并能针对站点使用Tomcat进行安全加固。
3. 前置条件
1、根据站点开放端口,进程ID,进程名称,确认站点采用Tomcat进行部署;
2、找到Tomcat路径:
方法一:开始->所有程序->Apache Tomcat->打开文件位置
方法二:window直接搜索Tomcat
方法三:任务管理器->进程-> tomcat进程->打开文件位置
方法四:D盾->工具->进程查看-> tomcat进程->打开文件位置
方法五:适用linux:切换到根路径,搜索find –name *.jsp –print(方法同样适用 查找网站根目录)
4. 详细操作
注意:建议实施项需要检查,询问管理员后方可配置,建议让管理员自行配置,实施项为必做加固项。Tomcat控制台必须确定是否对外开放,是否有远程管理权限账号:1、mageger文件夹是否存在;2、tomcat账号是否可登陆。
4.1 Tomcat控制台用户配置
备份配置文件,修改tomcat/conf/tomcat-user.xml配置文件,将账号进行注释,
若业务系统需要使用tomcat管理后台进行业务代码发布和管理,建议修改默认admin用户,且密码长度不低于10位,必须包含大写字母、特殊符号、数字组合,如下:
4.2 日志审计
备份配置文件,参考配置操作
编辑tomcat/conf/server.xml配置文件,在标签中增加记录日志功能
将以下内容的注释标记取消
<valve classname="org.apache.catalina.valves.AccessLogValve" Directory="logs" prefix="localhost_access_log." suffix=".txt" Pattern="common" resloveHosts="false" />
4.3 自定义404错误页面
(1) 在网站根目录新建noFile.htm文件
(2) 查看并启用tomcat/conf/web.xml文件中下列代码:
<error-page>
<error-code>404</error-code>
<location>/noFile.htm</location>
</error-page>
4.4 最佳经验实践
因tomcat配置不当,可能导致的安全问题,常见安全漏洞如:目录浏览、webdav等
4.4.1 关闭目录浏览
(1) 编辑tomcat/conf/web.xml配置文件,
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
</init-param>
把true改成false
(2)重新启动tomcat服务
4.4.2 使用安全的HTTP请求
编辑tomcat/conf/web.xml配置文件,添加或修改文件如下所示:
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
4.4.3 限制IP访问
打开tomcat/conf/server.xml,添加下面一行,重启服务器即可:<value className="org.apache.catalina.values.RemoteAddrValue" allow="127.0.0.1" deny="" />
此行放在</Host>之前,只允许本地访问。
例如:
- 只允许192.168.1.1访问:
<value className="org.apache.catalina.values.RemoteAddrValue" allow="192.168.1.1" deny="" />
- 只允许192.168.1.0/24访问
<value className="org.apache.catalina.values.RemoteAddrValue" allow="192.168.1.*" deny="" />
4.4.4 登陆超时退出
备份配置文件,参考配置操作
编辑tomcat/conf/server.xml配置文件,修改超时时间为300秒
<Connector port="8080" maxHttpHeadSize="25" maxSpareThreads="75" enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="300" disableUploadTimeout="true" />
4.5 风险操作项
4.5.1 更改默认端口
(1)修改tomcat/conf/server.xml 配置文件,更改默认管理端口到8888
<Connector
port="8888" maxHttpHeaderSize="8192" maxThreads="150"
minSpareThreads="25" maxSpareThreads="75"、
enableLookups="false" redirectPort="8443" acceptCount="100"
connectionTimeout="300" disableUploadTimeout="true" />
(2)重启 tomcat 服务
4.5.2 补丁更新
根据tomcat版本漏洞库查询是否存在漏洞,如果存在漏洞请在http://httpd.tomcat.org下载最新稳定版安装
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。
