tomcat web服務器優化
下面簡單介紹下這次優化的內容
按照CIS-Tomcat7最新基線標準進行中間件層面基線檢測
註意:禁止root登陸項請謹慎操作,禁止登陸後root賬號不能直接等
檢查項1: tomcat進程運行權限檢測
路徑: /application/tomcat
當前值: 0
`加固建議: 請創建低權限的賬號運行tomcat`檢查項: 開啟用戶登錄失敗鎖定
路徑: /application/tomcat/conf/server.xml
當前值:
加固建議: <Realm className="org.apache.catalina.realm.LockOutRealm" failureCount="3" lockOutTime="600" cacheSize="1000" cacheRemovalWarningTime="3600">
檢查項: 限制遠程管理IP
路徑: /application/tomcat/conf/server.xml
當前值:
`加固建議: 增加<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="允許遠程管理IP"/>`檢查項: 禁止顯示異常調試信息
路徑: /application/tomcat/conf/web.xml
當前值:
`加固建議: 在當前web.xml裏面的web-app添加子節點:<error-page><exception-type>java.lang.Throwable</exception-type><location>/error.jsp</location></error-page>,在webapps目錄下創建error.jsp,定義自定義錯誤信息`
檢查項: 開啟傳輸層安全屬性
路徑: /application/tomcat/webapps/manager/WEB-INF/web.xml
當前值:
加固建議: 在當前路徑的web.xml裏面的web-app添加子節點:<security-constraint> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee></user-data-constraint> </security-constraint>檢查項: 開啟安全周期生命監聽器
當前值:
`加固建議: 取消 <Listener className="org.apache.catalina.security.SecurityListener" /> 註釋`檢查項: 示例文件檢測
路徑: /application/tomcat/
當前值: /application/tomcat/webapps/examples
加固建議: 請刪除檢測出的示例文件或目錄檢查項: tomcat目錄權限檢測
路徑: /application/tomcat/
當前值: root
加固建議: 使用chown -R tomcat:tomcat "根目錄"修改tomcat根目錄文件所有者檢查項: 禁止自動部署
路徑: /application/tomcat/conf/server.xml
當前值: Host:autoDeploy=true
加固建議: 將autoDeploy="false"檢查項: 禁止應用運行在提權模式
路徑: /application/tomcat/webapps/manager/META-INF/context.xml
當前值: Context:privileged=true
加固建議: 將privileged="false"檢查項: 禁止應用運行在提權模式
路徑: /application/tomcat/webapps/host-manager/META-INF/context.xml
當前值: Context:privileged=true
加固建議: 將privileged="false"檢查項: 設置http大小 (默認為4096)
路徑: /application/tomcat/conf/server.xml
當前值: maxHttpHeaderSize
加固建議: 對檢測出的Connector增加屬性:maxHttpHeaderSize="8192"檢查項: 監聽端口業務協議配置檢測
路徑: /application/tomcat/conf/server.xml
當前值: 8080
加固建議: 為該監聽端口配置scheme="http"或"https"屬性檢查項: 監聽端口業務協議配置檢測
路徑: /application/tomcat/conf/server.xml
當前值: 8009
加固建議: 為該監聽端口配置scheme="http"或"https"屬性檢查項: 使用UserDatabaseRealm檢測(認證機制)
路徑: /application/tomcat/conf/server.xml
當前值: org.apache.catalina.realm.UserDatabaseRealm
加固建議: 建議關閉UserDatabaseRealm使用tomcat web服務器優化