阿里雲標準-Apache Tomcat 安全基線檢查
禁止自動部署 | 服務配置
描述
配置自動部署,容易被部署惡意或未經測試的應用程式,應將其禁用
加固建議
修改Tomcat 根目錄下的配置檔案conf/server.xml,將host節點的autoDeploy屬性設定為“false”,如果host的deployOnStartup屬性(如沒有deployOnStartup配置可以忽略)為“true”,則也將其更改為“false”
Tomcat目錄許可權檢測 | 訪問控制
描述
在執行Tomcat服務時,避免使用root使用者執行,tomcat目錄(catalina.home、 catalina.base目錄)所有者應改為非root的執行使用者
加固建議
使用chown -R <Tomcat啟動使用者所屬組>:<Tomcat啟動使用者> <Tomcat目錄>修改tomcat目錄檔案所有者,如chown -R tomcat:tomcat /usr/local/tomcat
Tomcat程序執行許可權檢測 | 訪問控制
描述
在執行Internet服務時,最好儘可能避免使用root使用者執行,降低攻擊者拿到伺服器控制權限的機會。
加固建議
建立低許可權的賬號執行Tomcat,操作步驟如下:
?--新增tomcat使用者 useradd tomcat --將tomcat目錄owner改為tomcat chown -R tomcat:tomcat /opt/tomcat -- 停止原來的tomcat服務 --切換到tomcat使用者 su - tomcat --重新啟動tomcat /opt/tomcat/bin/startup.sh
禁止顯示異常除錯資訊 | 服務配置
描述
當請求處理期間發生執行時錯誤時,ApacheTomcat將向請求者顯示除錯資訊。建議不要向請求者提供此類除錯資訊。
加固建議
在Tomcat根目錄下的conf/web.xml檔案裡面的web-app新增子節點:
開啟日誌記錄 | 安全審計
描述
Tomcat需要儲存輸出日誌,以便於排除錯誤和發生安全事件時,進行分析和定位
加固建議
1、修改Tomcat根目錄下的conf/server.xml檔案。
2、取消Host節點下Valve節點的註釋(如沒有則新增)。
禁止Tomcat顯示目錄檔案列表 | 服務配置
描述
Tomcat允許顯示目錄檔案列表會引發目錄遍歷漏洞
加固建議
修改Tomcat 跟目錄下的配置檔案conf/web.xml,將listings的值設定為false。
刪除專案無關檔案和目錄 | 訪問控制
描述
Tomcat安裝提供了示例應用程式、文件和其他可能不用於生產程式及目錄,存在極大安全風險,建議移除
加固建議
請刪除Tomcat示例程式和目錄、管理控制檯等,即從Tomcat根目錄的webapps目錄,移出或刪除docs、examples、host-manager、manager目錄。
避免為tomcat配置manager-gui弱口令 | 訪問控制
描述
tomcat-manger是Tomcat提供的web應用熱部署功能,該功能具有較高許可權,會直接控制Tomcat應用,應儘量避免使用此功能。如有特殊需求,請務必確保為該功能配置了強口令
加固建議
編輯Tomcat根目錄下的配置檔案conf/tomcat-user.xml,修改user節點的password屬性值為複雜密碼, 密碼應符合複雜性要求:
1、長度8位以上
2、包含以下四類字元中的三類字元:
英文大寫字母(A 到 Z)
英文小寫字母(a 到 z)
10 個基本數字(0 到 9)
非字母字元(例如 !、$、#、%、@、^、&)
3、避免使用已公開的弱密碼,如:abcd.1234 、admin@123等
限制伺服器平臺資訊洩漏 | 服務配置
描述
限制伺服器平臺資訊洩漏會使攻擊者更難確定哪些漏洞會影響伺服器平臺。
加固建議
1、進入Tomcat安裝主目錄的lib目錄下,比如 cd /usr/local/tomcat7/lib 2、執行:jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties,修改檔案ServerInfo.properties中的server.info和server.number的值,如分別改為:Apache/11.0.92、11.0.92.0 3、執行:jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties 4、重啟Tomcat服務