Tomcat服务器配置及安全应用指南

1、Tomcat服务器配置及安全应用指南技术创新 变革未来Tomcat服务安全加固默认安装Tomcat自带启用了管理后台功能，该后台可直接上传war对站点进行部署和管理，通常由于运维人员的疏忽，导致管理后台空口令或者弱口令的产生，使得黑客或者不法分子利用该漏洞直接上传WEBSHELL导致服务器沦陷。 通常访问Tomcat后台管理地址为:http:/iP:8080/manager/html/, 具体如下图所示：漏洞危害： 通过猜解到的口令等Tomcat管理后台后，可以上传webshell导致服务器被入侵。Tomcat服务安全加固修复方案： 由于此类型漏洞对业务系统造成比较严重的危害，建议针对tomc

2、at管理后台作如下整改：1.网络访问控制如果您的业务不需要使用tomcat管理后台管理业务代码，建议您使用安全组防火墙或直接将部署tomcat目录下webapps下的manager、host-manager文件夹全部删除；注释Tomcat目录下conf下的tomcat-users.xml中的所有代码，如下：若业务系统需要使用tomcat管理后台进行业务代码发布和管理，建议为Tomcat管理后台配置强口令，修改默认admin用户，且密码长度不低于10位，必须包含大写字母、特殊符号、数字组合。Tomcat服务安全加固修复方案： 开启Tomcat的访问日志Tomcat服务安全加固修复方案： Tomc

3、at默认帐号安全Tomcat服务安全加固修复方案： 修改默认访问端口Tomcat服务安全加固修复方案： 重定向错误页面修改访问tomcat错误页面的返回信息，conf/web.xml在倒数第1行之前加然后在webappsmanger目录中创建相应的401.html404.htm500.htm文件Tomcat服务安全加固禁止列目录防止直接访问目录时由于找不到默认页面而列出目录下的文件Tomcat服务安全加固删除文档和示例程序删除webapps/docs、examples、manager、ROOT、host-manager。Web应用服务器加固思路Web应用服务器加固思路Web安全分为两大类： W

4、eb服务器的安全性(Web服务器本身安全和软件配置)。 Web应用程序的安全性(在Web服务器上运行的Java、 ActiveX、PHP、ASP代码的安全)。Web服务器面临的攻击 Web服务器攻击利用Web服务器软件和配置中常见的漏洞。这些漏洞包括： 缓冲区溢出 文件目录遍历 脚本权限 文件目录浏览 Web服务器软件默认安装的示例代码 Web服务器上运行的其他软件中的漏洞，例如SQL数据库软件让我们对上诉漏洞依个进行深入地探讨。Web应用服务器加固思路缓冲区溢出 缓冲区溢出允许恶意代码注入到应用程序，它损坏应用程序的堆栈内存中存储应用程序代码的一个地方并用不同的代码代替原始代码的一部分来实现

5、攻击者的目的，例如运行特洛伊木马程序或远程控制应用程序。以下是缓冲区溢出漏洞的一个简单示例代码，使用C语言编写： char aTmp100; scanf(%s,aTmp); 在第一行中，程序员声明一个长度为100的数组aTmp。在第二行中，scanf方法从控制台读取数据存到aTmp数组。代码不会检查%s 变量是否能够容纳输入数据的大小。因为程序员编码过程不对输入字符串的大小进行检查，如果给定的输入超过100个字符，就会造成缓冲区溢出。一个精心构造构的输入中可能包含汇编代码，这部分汇编代码能够获得源程序一样的运行权限。Web应用服务器加固思路目录遍历 目录遍历是指访问到了不是原先设想或允许的目录

6、(或文件夹)。例如，微软IIS Web站点的默认文件夹为C:inetpub，攻击者可使用的目录遍历漏洞，在该文件夹之外去读取他们本不该访问的文件。详细来说，假如有一个网址为“”的网站，其服务器代码中包含目录遍历漏洞。攻击者通过输入以下URL就可以利用该漏洞： /./autoexec.bat URL中的“./”告诉服务器上溯一个目录，也就是“C:”目录(Web 服务器可以将斜杠转换为反斜杠)。所以如果IIS服务器默认目录为“c:inetpub”，那么该URL会转到“C:”目录，攻击者将能够看到“c:autoexec.bat”文件。除非将服务器配置好了避免目录遍历，不然所有目录可能都是可访问的。这

7、种情况下，Web服务器将显示“autoexec.bat”文件的内容，或者攻击者选择的任何其他文件。 值得注意的是:我们已经使用 IIS 作为示例;但是，此漏洞的利用不是针对IIS服务器的，在其他的Web 服务器上也有目录遍历漏洞。Web应用服务器加固思路脚本权限目录浏览 通常情况下，目录浏览是禁用的，但是如果启用它，则它显示该目录中的所有文件，并允许浏览的子目录。有时知道一个文件存在可以帮助攻击者利用Web 服务器上文件和程序的漏洞。为此，不建议启用Web 服务器上的目录浏览。5.默认示例 默认示例是包含在Web 服务器软件中并在服务器软件安装时默认安装的应用程序。一些默认安装的示例包含安全漏

8、洞。针对这些漏洞保护的最佳办法是不要安装示例，如果已经安装了，最好把它们删除掉。Web应用服务器加固思路其他服务 攻击者可以通过攻击在Web服务器上运行的其他服务来攻陷Web服务器。这些服务包括FTP、SMTP、POP3、SQL服务器和NetBIOS服务。防止此类攻击的最佳方法是减少“受攻击面”。关闭所有运行在Web服务器操作系统上不必要的服务并对剩下的服务进行安全地配置。最佳做法是使 Web服务器只有一个Web服务程序，而没有其他的服务。运行数据库和其他的软件应部署在单独的服务器上，这样服务器受防火墙保护，只有Web服务器易受Web攻击。如果攻击者设法利用其他服务的漏洞来攻击服务器，他们也能

9、够干扰或攻陷Web站点。Web应用服务器加固思路Web服务器软件的固有漏洞 每个Web服务器软件，包括IIS和Apache，由于缺乏安全的编码技术，该软件的程序员已经提供了内置漏洞。例如，IIS的.htr漏洞，允许攻击者看到驻留在服务器上的文件的内容。几乎每周都会发布主要的Web服务器软件平台中的新漏洞。Web应用服务器加固思路Web服务器的保护 针对上述漏洞最佳做法是遵循以下建议搭建并运行Web服务器。采取下列措施将提高Web服务器的安全性。 给Web服务器服务或守护程序配置能够使它正常运行最少的权限。这样，即使攻击者控制了Web 服务器，他们只能获得运行该软件对应的用户账户的权限。这样，攻击计算机或网络上的其他软件可行方案就极为有限了。 安装最新的安全补丁并时刻关注漏洞的最新动态。 删除默认示例并避免安装类似的示例。 通过删除不需要的应用程序，安全配置同一台计算机上的其他网络服务，确保操作系统已安装最新的安全补丁来保证承载Web服务器的计算机的安全。 确保只给需要执行的脚本单独的目录运行的权限。 在Web服务器上每个目录中，都提供一个index.html文件，以避免