三国杀凌统:Tomcat安全加固方案(Linux)

三国杀荀攸 www.rgtdd.icu 文章來源:綠盟市場 時間:2019-05-27 09:34

一、 Tomcat版本安全

在不升級大版本的情況下,升級到最新穩定版本。

1. Tomcat6.x:該版本已經于2016年12月31日停止支持,最新穩定版本為6.0.53,下載地址:https://archive.apache.org/dist/tomcat/tomcat-6/v6.0.53/bin/   由于該版本不再更新,建議如果條件允許,還是更新版本至Tomcat7.0.94,Tomcat6漏洞列表頁面://tomcat.apache.org/security-6.html  。

2. Tomcat7.x:直接升級至最新穩定版本Tomcat7.0.94,下載地址:https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-7/v7.0.94/bin/  ,漏洞列表頁面://tomcat.apache.org/security-7.html  。

二、 Tomcat服務降權

不使用root用戶啟動Tomcat,使用普通用戶啟動(所有操作均在root用戶下)。

1. 創建普通用戶hcy-manager,用戶密碼為Hcycom123$%^,命令如下:

groupadd -g 9916 hcy-manager

useradd -u 9916 -g hcy-manager -s /usr/sbin/nologin hcy-manager

2. 修改Tomcat目錄文件用戶權限,命令如下:

chown -R hcy-manager:hcy-manager apache-tomcat-6.0.53

chown -R hcy-manager:hcy-manager apache-tomcat-7.0.94

查看目錄用戶權限,驗證是否修改成功


1. 修改Tomcat目錄文件讀寫運行權限,命令如下:

chmod -R 700 apache-tomcat-6.0.53

chmod -R 700 apache-tomcat-7.0.94

查看目錄讀寫權限,驗證是否修改成


1. hcy-manager用戶啟動Tomcat(以Tomcat6為例,Tomcat7操作相同)

修改bin目錄下的startup.sh和shutdown.sh文件,命令如下:

mv startup.sh startup_.sh

mv shutdown.sh shutdown_.sh

在bin目錄下新建startup.sh和shutdown.sh文件,標黃部分自行替換,文件內容如下:

# startup.sh

#!/bin/bash

usermod -s /bin/bash hcy-manager

su - hcy-manager -c /opt/apache-tomcat-6.0.53/bin/startup_.sh

usermod -s /sbin/nologin hcy-manager

 

# startup.sh

#!/bin/bash

usermod -s /bin/bash hcy-manager

su - hcy-manager -c /opt/apache-tomcat-6.0.53/bin/shutdown_.sh

usermod -s /sbin/nologin hcy-manager

再次執行2、3步驟,然后使用root用戶執行startup.sh和shutdown.sh進行啟動和停止




一、 Tomcat端口?;?/p>

Tomcat默認啟動三個端口,8080、8005、8009,8080是默認訪問端口,8005是shutdown端口,8009是AJP端口


1. 修改默認8080端口

修改server.xml文件

修改前:

1. 關閉AJP的8009端口

修改server.xml文件


驗證查看

重啟Tomcat,查看默認端口已消失,只能查看到修改后的應用端口


禁用管理程序

1. 刪除webapps目錄下,除開發應用外的其它目錄,包括:docs、examples、host-manager、manager和ROOT,執行命令:

rm -rf docs  examples  host-manager  manager  ROOT

2. 刪除conf目錄下tomcat-users.xml文件,執行命令:

rm -rf tomcat-users.xml

3. 清空Tomcat緩存work目錄,執行命令:

rm -rf Catalina

4. 重啟Tomcat驗證


刪除后是這樣的:


隱藏Tomcat版本信息

  1.  查看當前版本信息,執行Tomcat的bin目錄下的version.sh,結果如下:

  2. 修改Tomcat版本信息,拷貝Tomcat目錄下的lib文件夾中的catalina.jar文件到本地,使用壓縮工具打開,直接修改,修改完成后直接保存至catalina.jar文件,具體步驟如下圖:

  3. 保存修改 驗證修改是否成功

 關閉war包自動部署

默認 Tomcat 是開啟了對war包的熱部署的,為了防止被植入木馬等惡意程序,因此我們要關閉自動部署。

1. 修改Tomcat下的conf文件夾下的server.xml文件

修改前為自動部署、自動解壓war文件:


禁止目錄文件自動列出

直接修改Tomcat下的conf目錄下的web.xml文件,true為列出,false為不列出,請設置為false





多應用隔離

建議不要使用 Tomcat 的虛擬主機,推薦每個站點使用一個實例。即,可以啟動多個 Tomcat,而不是啟動一個 Tomcat 里面包含多個虛擬主機。因為 Tomcat是多線程,共享內存,任何一個虛擬主機中的應用崩潰,都會影響到所有應用程序。雖然采用多實例的方式會產生過多的開銷,但至少保障了應用程序的隔離和安全。

查看conf目錄下的server.xml文件,如果有多個Host標簽對,則表示有多個虛擬主機,建議分開使用,開啟多個Tomcat。



腳本權限回收

直接修改Tomcat下的bin目錄下的所有執行腳本,執行命令:

chmod -R 700 /opt/tomcat/bin/*

查看結果,截圖如下:



更多

《Tomcat權威指南》pdf電子版

狀 態:
公測
標簽 :
文檔
下載量:
開發商:
暫無
時 間:
18-03-03
語 言:
中文,英文

暫無下載地址

暫無下載地址

查看更多相關文章