Tomcat安全加固配置手册

简介:

第1章   概述

1.1   目标

现有的Web服务体系架构缺少有效的安全性支持,所以需要一个安全框架模型来解决Web服务中的各种安全问题。Web服务器是应用的载体,如果这个载体出现安全问题,那么运行在其中的Web应用程序的安全就得不到保障了。本文主要描述Apache Tomcat的安全加固和配置工作,最终用以指导系统实施。

1.2   预期读者

本文档用于指导系统工程师进行系统实施工作,架构师和系统工程师应该通读本文档,选择适当方式用于自己的系统。

第2章    产品介绍

Tomcat是一个HTTP服务器,是Sun透过Java Community Process开发的、对广泛使用的Servlet和JavaServer Page(JSP)技术的正式参考实作。Servlet和JSP技术用于建构HTTP服务器应用程序。虽然Servlet技术中加入了许多特性(包括存取安全性、Session管理和执行绪控制)。JSP技术提供了一种处理动态生成的 HTML 页面的简便方法,这些 HTML 页面被直接编译成 Servlet 以用于快速执行时作业。Tomcat除了上述的两种技术保障安全之外,还可以通过配置Tomcat的参数以增加安全性。

第3章   Tomcat的安全加固配置

3.1  Tomcat版本统一

查看目前系统部署的Tomcat是否为统一的版本,切换到$CATALINA_HOME\bin目录下:

Linux

[root@srv-dfh526tomcat6-spaceservice]# cd bin/

[root@srv-dfh526bin]# ./version.sh

UsingCATALINA_BASE:  /soft/tomcat6-spaceservice

UsingCATALINA_HOME:  /soft/tomcat6-spaceservice

UsingCATALINA_TMPDIR: /soft/tomcat6-spaceservice/temp

UsingJRE_HOME:        /usr/local/jdk6

UsingCLASSPATH:      /soft/tomcat6-spaceservice/bin/bootstrap.jar

Serverversion: Apache Tomcat/6.0.33

Serverbuilt:   Aug 16 2011 02:16:34

Servernumber:  6.0.33.0

OSName:        Linux

OSVersion:     2.6.32-279.el6.x86_64

Architecture:   amd64

JVMVersion:    1.6.0_32-b05

JVMVendor:     Sun Microsystems Inc.

Windows

D:\tools\apache-tomcat-6.0.30\apache-tomcat-6.0.30\bin>version.bat

UsingCATALINA_BASE:  "D:\tools\apache-tomcat-6.0.30\apache-tomcat-6.0.30"

UsingCATALINA_HOME:  "D:\tools\apache-tomcat-6.0.30\apache-tomcat-6.0.30"

UsingCATALINA_TMPDIR: "D:\tools\apache-tomcat-6.0.30\apache-tomcat-6.0.30\temp"

 

UsingJRE_HOME:       "D:\Java\jdk1.8.0"

UsingCLASSPATH:      "D:\tools\apache-tomcat-6.0.30\apache-tomcat-6.0.30\bin\b

ootstrap.jar"

Serverversion: Apache Tomcat/6.0.30

Serverbuilt:   January 10 2011 1752

Servernumber:  6.0.30.0

OSName:        Windows 7

OSVersion:     6.1

Architecture:   amd64

JVMVersion:    1.8.0-ea-b121

JVMVendor:     Oracle Corporation

D:\tools\apache-tomcat-6.0.30\apache-tomcat-6.0.30\bin>

3.2   Tomcat帐号安全

将$CATALINA_HOME\conf\tomcat-users.xml中文件的所有用户都注释掉,配置如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
<? xmlversion = '1.0'  encoding = 'utf-8' ?>
< tomcat-users >
<!—
   < rolerolename = "tomcat" /> 
   < rolerolename = "role1" /> 
   < rolerolename = "manager" /> 
   < rolerolename = "admin" /> 
   < user  username = "tomcat" password = "tomcat"  roles = "tomcat" /> 
   < userusername = "both"  password = "tomcat" roles = "tomcat,role1" /> 
   < userusername = "role1"  password = "tomcat" roles = "role1" /> 
   < userusername = "admin"  password = "admin" roles = "manager" /> 
-->
</ tomcat-users >


如果业务需要内置的Tomcat用户,则需要给其分配合理的权限,密码设置符合密码策略,Tomcat角色类型如下:

 role1:具有读权限;

 tomcat:具有读和运行权限;

 admin:具有读、运行和写权限;

 manager:具有远程管理权限。

如果使用启用了Tomcat用户,则需要设置Tomcat定时登出,将$CATALINA_HOME\conf\server.xml配置如下:

1
2
3
4
5
6
7
8
9
10
11
< Connectorport = "8080"
        protocol = "HTTP/1.1"
        maxHttpHeaderSize = "8192" 
        maxThreads = "150"
        minSpareThreads = "25" 
        maxSpareThreads = "75"
        enableLookups = "false" 
        redirectPort = "8443" 
        acceptCount = "100"
        connectionTimeout = "30000"
        disableUploadTimeout = "true" />


 

加固检查:

输入帐号和密码都无法登录

spacer.gif

 

3.3   除webapps应用

除了需要部署上去的应用,其余位于$CATALINA_HOME\webapps文件夹中的应用如docs、examples、host-manager、manager和ROOT。

注:若无业务必要,请执行删除上述的应用包。

加固检查:

输入:http://localhost:8080/manager/html

出现的页面空白

spacer.gif

 

3.4   禁止Tomcat目录列表

确保$CATALINA_HOME\conf\web.xml中listings的值为false:

1
2
3
4
< init-param >
     < param-name >listings</ param-name >
     < param-value >false</ param-value >
</ init-param >


 

 

3.5   设置Cookie的HttpOnly属性

因为目前框架中没有为Cookie添加HttpOnly属性,所以可以在Tomcat中设置。

第一步,在$CATALINA_HOME\conf\context.xml文件中添加useHttpOnly="true"配置如下:

1
2
3
< Context   useHttpOnly = "true" >
        < WatchedResource >WEB-INF/web.xml</ WatchedResource >
</ Context >


     第二步,在项目应用的web.xml中配置上:

1
2
3
4
5
6
< session-config >
      < cookie-config >
             < http-only >true</ http-only >
             < secure >true</ secure >
      </ cookie-config >
</ session-config >


加固检查:

可以通过firebug查看cookie,出现HttpOnly属性

spacer.gif

 

3.6   配置shutdown端口

在$CATALINA_HOME\conf\server.xml中“<Server port="8005" shutdown="SHUTDOWN">”配置有允许任何人只要telnet到服务器的8005端口,输入"SHUTDOWN",然后回车,服务器立即就被关掉了。从安全的角度上考虑,需要把这个shutdown指令改成一个别人不容易猜测的字符串。而且这个修改不影响shutdown.bat或shutdown.sh的执行。配置如下:

<Serverport="未被占用的端口" shutdown="较为复杂的字符串">

注:配置的端口需要大于1024。

加固检查:

使用telnet 127.0.0.1 8005进入,输入“SHUTDOWN”,Tomcat不会被关闭。

 

3.7   隐藏Tomcat版本信息

在默认配置下,当应用出现异常时,客户端会显示Tomcat的版本信息。攻击者可以根据Tomcat版本信息选择漏洞库攻击,所以需要将Tomcat的版本信息隐藏,将$CATALINA_HOME\lib\catalina.jar\org\apache\catalina\util中的配置ServerInfo.properties如下:

1
2
3
server.info=需要展现的信息如SmartCity
server.number=SmartCity
server.built= 20140101


     加固检测:

输入一个异常的URL看看出现的异常页面是否出现类似(无Tomcat的版本信息)如下内容:

spacer.gif

 

3.8   关闭war自动部署

默认的配置war放在$CATALINA_HOME\webapps中会自动部署,所以关闭war自动部署防止被植入木马等恶意程序。将$CATALINA_HOME\conf\server.xml配置如下:

1
2
3
4
5
6
< Hostname = "localhost"
        appBase = "webapps"
     unpackWARs = "false"
    autoDeploy = "false"
     xmlValidation = "false"
     xmlNamespaceAware = "false" >


     加固检查:

将一个war文件放进$CATALINA_HOME\webapps,启动Tomcat后,war文件不会被部署。

3.9   Tomcat启动权限

场景一:新部署的应用

#若系统中已经存在该用户,则不需要重写创建

1
2
3
4
5
6
7
8
9
10
11
12
13
[root@localhost~] # groupadd dfhapp
[root@localhost~] # useradd  -d/home/ dfhapp -g dfhapp dfhapp
#创建的密码需要符合密码策略要求
[root@localhost~] # passwd dfhapp
更改用户 tomcat 的密码。
新的密码:
无效的密码:过于简单化/系统化
无效的密码:过于简单
重新输入新的密码:
passwd :所有的身份验证令牌已经成功更新。
[root@localhost/] # cd /
[root@localhost/] # mkdir /soft
[root@localhost/] # chown -R dfhapp:dfhapp /soft/


1
2
3
4
5
6
7
8
9
10
11
12
#切换用户
[root@localhost/] # su dfhapp
[dfhapp@localhost /]$  cd  /soft/
[dfhapp@localhost soft]$ wgethttp: //mirror .esocc.com /apache/tomcat/tomcat-6/v6 .0.39 /bin/apache-tomcat-6 .0.39.zip
[dfhapp@localhost soft]$ unzip apache-tomcat-6.0.39.zip
[dfhapp@localhost soft]$  mv  apache-tomcat-6.0.39 tomcat-demo
[dfhapp@localhost soft]$  cd  tomcat-demo/
[dfhapp@localhost tomcat-demo]$  chmod  750 *
[dfhapp@localhost tomcat-demo]$  chmod  -R 540 bin/*
[dfhapp@localhost tomcat-demo]$  chmod  -R 540 lib/*
[dfhapp@localhost tomcat-demo]$  chmod  -R 640 conf/*
[dfhapp@localhost tomcat-demo]$  cd  bin/


1
2
3
4
5
6
7
#启动Tomcat
[dfhapp@localhost bin]$ . /startup .sh 
UsingCATALINA_BASE:    /soft/tomcat-demo
UsingCATALINA_HOME:    /soft/tomcat-demo
UsingCATALINA_TMPDIR:  /soft/tomcat-demo/temp
UsingJRE_HOME:         /usr
UsingCLASSPATH:       /soft/tomcat-demo/bin/bootstrap .jar


 

场景二:已存在应用

#若系统中已经存在该用户,则不需要重写创建

1
2
3
4
5
6
7
8
9
10
[root@localhost~] # groupadd dfhapp
[root@localhost~] # useradd  -d/home/ dfhapp -g dfhapp dfhapp
#创建的密码需要符合密码策略要求
[root@localhost~] # passwd dfhapp
更改用户 tomcat 的密码。
新的密码:
无效的密码:过于简单化/系统化
无效的密码:过于简单
重新输入新的密码:
passwd :所有的身份验证令牌已经成功更新。


#关闭应用线程,标红的线程号需要一致

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
[root@yuanyuan2/] # ps -ef |grep tomcat_demo
root      4917     1 6 16:08 pts /1     00:00:54 /usr/bin/java-Djava .util.logging.config. file = /apache/tomcat_demo/conf/logging .properties-Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -server-Xms256m -Xmx512m -XX:PermSize=64M -XX:MaxPermSize=256m-Djava.endorsed. dirs = /apache/tomcat_demo/endorsed  -classpath /apache/tomcat_demo/bin/bootstrap .jar -Dcatalina.base= /apache/tomcat_demo-Dcatalina .home= /apache/tomcat_demo  -Djava.io.tmpdir= /apache/tomcat_demo/temporg .apache.catalina.startup.Bootstrap start
root      5066 4858  0 16:22 pts /1     00:00:00  grep  tomcat_demo
  [root@yuanyuan2 /] # kill  -9 4917
#删除缓存目录,不然无法降权
[root@yuanyuan2~] # cd /apache/tomcat_demo/
[root@yuanyuan2tomcat_demo] # rm -rf work/Catalina/
[root@yuanyuan2tomcat_demo] # rm -rf conf/Catalina/
[root@localhost/] # chown -R dfhapp:dfhapp/data/
#切换用户
[root@localhost/] # su dfhapp
[dfhapp@yuanyuan2 /]$  cd  /apache/tomcat_demo/
#重新赋权限
[dfhapp@localhost tomcat-demo]$  chmod  750 *
[dfhapp@localhost tomcat-demo]$  chmod  -R 540 bin/*
[dfhapp@localhost tomcat-demo]$  chmod  -R 540 lib/*
[dfhapp@localhost tomcat-demo]$  chmod  -R 640 conf/*
[dfhapp@localhost tomcat-demo]$  cd  bin/


1
2
3
4
5
6
7
#启动Tomcat
[dfhapp@localhost bin]$ . /startup .sh 
UsingCATALINA_BASE:    /soft/tomcat-demo
UsingCATALINA_HOME:    /soft/tomcat-demo
UsingCATALINA_TMPDIR:  /soft/tomcat-demo/temp
UsingJRE_HOME:         /usr
UsingCLASSPATH:       /soft/tomcat-demo/bin/bootstrap .jar


 

注:(1)上述的dfhapp组名和用户可以根据需要更改。

     (2)如果需要上传文件到服务容器中的可以将存放目录设置为750.,命令如下。

1
[tomcat@localhostimage]$  chmod  -R 750 get/


     (3)鉴于Tonmcat的赋权操作是重复的,所以可以建立一个shell文件,存放在Tonmcat的根目录下进行赋权。

1
2
3
4
5
6
7
8
9
10
[tomcat@yuanyuan2tomcat_demo]$  pwd
/apache/tomcat_demo
#创建tomcat.sh脚本
[tomcat@yuanyuan2tomcat_demo]$ vim tomcat.sh 
chmod  750 *
chmod  -R 540 bin/*
chmod  -R 540 lib/*
chmod  -R 640 conf/*
[tomcat@yuanyuan2tomcat_demo]$  chmod  755 tomcat.sh
[tomcat@yuanyuan2tomcat_demo]$ . /tomcat .sh


     Tomcat中各个文件的权限:

1
2
3
4
5
6
7
8
9
10
11
12
13
[tomcat@localhosttomcat-demo]$ ll
总用量 124
drwxr-x---.2 tomcat tomcat  4096 1月  2722:42 bin
drwxr-x---.3 tomcat tomcat  4096 4月   220:52 conf
drwxr-x---.2 tomcat tomcat  4096 1月  2722:42 lib
-rwxr-x---.1 tomcat tomcat 57695 1月  27 22:42 LICENSE
drwxr-x---.2 tomcat tomcat  4096 4月   220:52 logs
-rwxr-x---.1 tomcat tomcat   783 1月  2722:42 NOTICE
-rwxr-x---.1 tomcat tomcat  9360 1月  2722:42 RELEASE-NOTES
-rwxr-x---.1 tomcat tomcat 16707 1月  27 22:42 RUNNING.txt
drwxr-x---.2 tomcat tomcat  4096 1月  2722:42 temp
drwxr-x---.8 tomcat tomcat  4096 4月   220:52 webapps
drwxr-x---.3 tomcat tomcat  4096 4月   220:52 work



本文转自 梦朝思夕 51CTO博客,原文链接:http://blog.51cto.com/qiangmzsx/1610192

相关文章
|
1月前
|
安全 应用服务中间件 网络安全
Tomcat如何配置PFX证书?
【10月更文挑战第2天】Tomcat如何配置PFX证书?
154 7
|
1月前
|
存储 算法 应用服务中间件
Tomcat如何配置JKS证书?
【10月更文挑战第2天】Tomcat如何配置JKS证书?
228 4
|
3月前
|
网络协议 Java 应用服务中间件
tomcat配置域名及HTTPS
tomcat配置域名及HTTPS
|
3月前
|
Java 应用服务中间件 Windows
【应用服务 App Service】App Service 中部署Java项目,查看Tomcat配置及上传自定义版本
【应用服务 App Service】App Service 中部署Java项目,查看Tomcat配置及上传自定义版本
|
25天前
|
Java Shell 应用服务中间件
Mac系统下配置环境变量:Javajdk、maven、tomcat 环境变量配置及对应配置文件
这篇文章介绍了如何在Mac系统下配置Java JDK、Maven和Tomcat的环境变量,包括配置文件的选择、解决环境变量在zsh shell中无效的问题、查看和设置系统环境变量的方法,以及JDK和Maven的下载、配置和测试步骤。
1003 1
Mac系统下配置环境变量:Javajdk、maven、tomcat 环境变量配置及对应配置文件
|
2月前
|
应用服务中间件 Docker 容器
docker应用部署---Tomcat的部署配置
这篇文章介绍了如何使用Docker部署Tomcat服务器,包括搜索和拉取Tomcat镜像、创建容器并设置端口映射和目录映射,以及如何创建一个HTML页面并使用外部机器访问Tomcat服务器。
docker应用部署---Tomcat的部署配置
|
1月前
apache+tomcat配置多站点集群的方法
apache+tomcat配置多站点集群的方法
32 4
|
1月前
|
负载均衡 应用服务中间件 Apache
Tomcat负载均衡原理详解及配置Apache2.2.22+Tomcat7
Tomcat负载均衡原理详解及配置Apache2.2.22+Tomcat7
35 3
|
6月前
|
安全 网络协议 应用服务中间件
tomcat 状态页 及常见配置
tomcat 状态页 及常见配置
|
3月前
|
缓存 Java 应用服务中间件
SpringMVC入门到实战------七、SpringMVC创建JSP页面的详细过程+配置模板+实现页面跳转+配置Tomcat。JSP和HTML配置模板的差异对比(二)
这篇文章详细介绍了在SpringMVC中创建JSP页面的全过程,包括项目的创建、配置、Tomcat的设置,以及如何实现页面跳转和配置模板解析器,最后还对比了JSP和HTML模板解析的差异。
SpringMVC入门到实战------七、SpringMVC创建JSP页面的详细过程+配置模板+实现页面跳转+配置Tomcat。JSP和HTML配置模板的差异对比(二)