【愚公系列】《网络安全应急管理与技术实践》 023-网络安全应急技术与实践（主机层-Tomcat 检查演练）

🏆 作者简介，愚公搬代码 🏆《头衔》：华为云特约编辑，华为云云享专家，华为开发者专家，华为产品云测专家，CSDN博客专家，CSDN商业化专家，阿里云专家博主，阿里云签约作者，腾讯云优秀博主，腾讯云内容共创官，掘金优秀博主，51CTO博客专家等。 🏆《近期荣誉》：2022年度博客之星TOP2，2023年度博客之星TOP2，2022年华为云十佳博主，2023年华为云十佳博主等。

🏆《博客内容》：.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。

🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

Tomcat 检查演练是一种测试和评估Tomcat服务器的过程，旨在确保服务器的正常运行和安全性。

🚀一、Tomcat 检查演练

Tomcat是一个开源的Java Servlet容器，也是一个轻量级的应用服务器。它可以作为独立的Web服务器或与Apache HTTP服务器一起使用，用于部署和运行Java Web应用程序。Tomcat实现了Java Servlet和JavaServer Pages（JSP）规范，并提供了一个运行环境，使开发人员能够在Java平台上构建和运行动态的Web应用程序。它是Apache软件基金会的一个项目，被广泛用于企业和个人的Web开发。

目前工作中使用的 Tomcat版本很多，本书以Tomcat8.0为例进行讲解

🔎1.访问控制

【检查重点】

(1)检查 Tomcat8.0\conftomcat-users.xml中为 Web 服务提供唯一、最小权限的用户与组。

(2)检查是否修改默认口令或禁用默认账号。

【检查方法】

(1)Tomcat 8.0\conf\tomcat-users.xml中为 Web 服务提供唯一、最小权限的用户与组。

(2)修改默认口令或禁用默认账号。在 Tomcat 8.0\conftomcat-users.xml文件中修改用户名/密码即可。类似如下内容。

<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
<role rolename="manager"/>
<role rolename="admin"/>
<user username="admin" password="amdidc.cn" roles="admin,manager"/>
</tomcat-users>

🔎2.安全审计

【检查重点】

(1)检查是否开启审计功能。

(2)检查审计日志文件的访问权限，禁止未经授权的用户访问。

(3)确保日志保存时间为6个月。

【检查方法】

(1)检查是否开启审计功能：

在 server.xml 文件的 <host> 标签下添加以下内容：

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>

检查审计日志文件的访问权限：

确保未经授权的用户无法访问审计日志文件（Windowseveryone用户应没有写权限，Linux操作系统建议修改权限为640权限）。

(2)检查日志保存时间：

确认日志文件保存时间是否设定为6个月。

🔎3.资源控制

【检查重点】

检査 server.xml配置文件，配置会话超时退出时间值。

【检查方法】

检查 server.xml 配置文件，是否配置会话超时退出时间 keepAliveTimeout及 ConnectionTimeout 的值。

🔎4.入侵防范

【检查重点】

检査 Tomcat 相关安全配置。

【检查方法】

(1)检查是否设置 shutdown 为复杂的字符串，在 server.xml 文件中修改<Server port="8005" shutdown="SHUTDOWN" debug="0">中 shutdown 字符串为复杂的字符。

(2)检查\tomcat\confweb.xml 文件中是否包括以下配置。

<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>;

(3)检查 ServerInfo.properties 文件：

检查是否修改或去掉了 serverinfo 参数后面的版本信息。

(4)检查是否自定义了错误文件：

在 web.xml 文件中配置错误的 jsp 文件，以防止信息泄漏。检查是否配置了自定义的400、403、404、500错误文件。

(5)限制中间件的线程数：

在 tomcat/conf/server.xml 文件中配置 maxthreads 参数，建议值为200，可按需调整。

(6)登录源限制：

对中间件管理后台操作进行登录源限制，可采用防火墙等工具来实现。

(7)检查端口设置：

在 tomcat/conf/server.xml 文件中，检查是否设置了管理端口和应用端口，并对端口进行访问权限设置。示例如下：

管理端口：

<Connector port="8800" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="300" disableUploadTimeout="true" />

应用端口：

<Service name="XXX">
<Connector port="8098" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" />