Apache Tomcat安全基线检查(Windows环境)

admin
admin
admin
140526
文章
117
评论
2022年5月31日16:28:18评论228 views字数 2304阅读7分40秒阅读模式

基线检查概述

基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测,并提供检测结果说明和加固建议。基线检查功能可以帮您进行系统安全加固,降低入侵风险并满足安全合规要求。
什么是基线
基线指操作系统、数据库及中间件的安全实践及合规检查的配置红线,包括弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置检查。
1、Tomcat进程运行权限检测 | 访问控制


描述
在运行Internet服务时,最好尽可能避免使用administrator或system用户运行,降低攻击者拿到服务器控制权限的机会。
检查提示
--
加固建议
1.新建一个普通用户用于启动tomcat 2.在tomcat/bin 目录下运行service.bat install将tomcat注册为服务 3.打开任务管理器选择服务标签,右键tomcat服务,选择打开服务 4.右键Apache Tomcat 选择属性,在登录选项卡,点击此账户后的浏览,选择启动tomcat的用户
2、禁止自动部署 | 服务配置
描述
配置自动部署,容易被部署恶意或未经测试的应用程序,应将其禁用
检查提示
--
加固建议
修改Tomcat 跟目录下的配置文件conf/server.xml,将host节点的autoDeploy属性设置为“false”,如果host的deployOnStartup属性(如没有deployOnStartup配置可以忽略)为“true”,则也将其更改为“false”
3、开启日志记录 | 安全审计


描述
Tomcat需要保存输出日志,以便于排除错误和发生安全事件时,进行分析和定位
检查提示
--
加固建议
1、修改Tomcat根目录下的conf/server.xml文件。
2、取消Host节点下Valve节点的注释(如没有则添加)。
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log" suffix=".txt" pattern="%h %l %u %t &quot;%r&quot; %s %b" /> 3、重新启动Tomcat
4、禁止显示异常调试信息 | 服务配置


描述
当请求处理期间发生运行时错误时,ApacheTomcat将向请求者显示调试信息。建议不要向请求者提供此类调试信息。
检查提示
--
加固建议
在Tomcat根目录下的conf/web.xml文件里面的web-app添加子节点:<error-page><exception-type>java.lang.Throwable</exception-type><location>/error.jsp</location></error-page>,在webapps目录下创建error.jsp,定义自定义错误信息
5、避免为tomcat配置manager-gui弱口令 | 访问控制


描述
tomcat-manger是Tomcat提供的web应用热部署功能,该功能具有较高权限,会直接控制Tomcat应用,应尽量避免使用此功能。如有特殊需求,请务必确保为该功能配置了强口令
检查提示
--
加固建议
编辑Tomcat根目录下的配置文件conf/tomcat-user.xml,修改user节点的password属性值为复杂密码, 密码应符合复杂性要求:
1、长度8位以上
2、包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%、@、^、&)
3、避免使用已公开的弱密码,如:abcd.1234 、admin@123等
6、删除项目无关文件和目录 | 访问控制


描述
Tomcat安装提供了示例应用程序、文档和其他可能不用于生产程序及目录,存在极大安全风险,建议移除
检查提示
--
加固建议
请删除Tomcat示例程序和目录、管理控制台等,即从Tomcat根目录的webapps目录,移出或删除docs、examples、host-manager、manager目录。
7、Tomcat目录权限检测 | 访问控制


描述
tomcat目录(catalina.home、 catalina.base目录)所有者应改为非administrator的运行用户
检查提示
--
加固建议
找到tomcat的catalina.base和catalina.home目录,右键点击属性选择安全选项卡,点击高级,更改所有者为启动tomcat的用户。catalina.base和catalina.home,可以运行tomcat.exe print查看到
8、禁止Tomcat显示目录文件列表 | 服务配置


描述
Tomcat允许显示目录文件列表会引发目录遍历漏洞
检查提示
--
加固建议
修改Tomcat 跟目录下的配置文件conf/web.xml,将listings的值设置为false。 <param-name>listings</param-name> <param-value>false</param-value>


免责声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。禁止任何人转载到其他站点,禁止用于任何非法用途。如有任何人凭此做何非法事情,均与笔者无关,特此声明。如有侵权烦请告知,我们会立即删除并致歉,谢谢


Apache Tomcat安全基线检查(Windows环境)


点赞”、转发”、“在看”,支持下小编Apache Tomcat安全基线检查(Windows环境)

原文始发于微信公众号(哆啦安全):Apache Tomcat安全基线检查(Windows环境)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月31日16:28:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache Tomcat安全基线检查(Windows环境)https://cn-sec.com/archives/1071090.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息