从市场份额和世界范围来看,Apache 雄猫是领先的Java应用程序服务器'整体上使用最广泛的Web应用程序服务器。当前流行的Web服务器的版本为8,但并非没有安全漏洞,这也许是最著名的宣传。 在这次事件中 安全研究员克里斯·罗伯茨(Chris Roberts)在今年早些时候对飞机进行了黑客攻击。但是,加强Tomcat'的默认配置只是良好的安全意识-即使您不这样做'计划在飞机上使用它'的网络。以下是开箱即用保护Apache 雄猫 8的15种方法。
1.唐't run 雄猫 as the root user
这条建议适用于大多数Web服务器平台。与Web相关的服务不应由具有高度管理访问权限的用户帐户运行。在Tomcat中'在这种情况下,应专门创建具有最低必需OS权限的用户,以运行Tomcat进程。
2.删除任何默认的样本或测试Web应用程序
大多数Web服务器平台还提供了一组示例或测试Web应用程序,用于演示和学习。这些应用已知具有 漏洞,如果不使用,应将其删除。雄猫'Web应用程序示例是应删除以防止利用的应用程序。
3. Put 雄猫'锁定时的关闭过程
这可以防止恶意行为者关闭Tomcat'的Web服务。可以通过设置关闭禁用端口 港口 中的属性 server.xml 归档到 -1。如果必须将端口保持打开状态,请确保配置强密码以关机。
4.禁用对TRACE请求的支持
尽管对调试很有用,但启用 allowTrace 可以将某些浏览器暴露给 跨站点脚本XSS攻击。可以通过在 server.xml 文件。
5.禁用X-Powered-By HTTP标头的发送
如果启用,Tomcat将发送诸如Servlet和JSP规范版本以及完整的Tomcat版本等信息。这为攻击者提供了进行攻击的可行起点。为防止此信息泄漏,请禁用 xpoweredBy 中的属性 server.xml 文件。
6.禁用SSLv3以防止POODLE攻击
POODLE是一个 SSL协议 2014年发现的v3协议漏洞。攻击者可以利用此漏洞来访问敏感信息,例如密码和浏览器cookie;随后,不应将SSL v3(和一般的SSL)包括在内 server.xml文件 在下面 sslEnabledProtocols 属性。
7.在托管环境中将deployXML属性设置为false
防止可能的攻击者通过打包更改/自定义的context.xml来尝试增加对Web应用程序的特权。这在无法信任共享相同服务器资源的其他Web应用程序的托管环境中尤其重要。
8.明智地配置和使用领域
雄猫'领域的设计不同,使用前应了解其局限性。例如, 数据源领域 应该代替 JDBC领域,因为后者是用于所有身份验证/授权选项的单线程,因此不适合生产使用。的 JAASRealm 也应避免使用它,因为它很少使用并且代码库不成熟。
9. Set 雄猫 至 create 新 facade object for each request
可以通过设置 org.apache.catalina.connector.RECYCLE_FACADES 系统属性 真正。这样,可以减少有问题的应用程序在请求之间公开数据的机会。
10.确保将对资源的访问设置为只读
这可以通过设置来完成 只读 to 真正 下 DefaultServlet, 有效地防止客户端删除/修改服务器上的静态资源并上传新资源。
11. Disable 雄猫 from displaying directory 列表
列出包含大量文件的目录内容可能会消耗大量系统资源,因此可用于拒绝服务(DoS)攻击。设置 列表 至 假 下 DefaultServlet 减轻这种风险。
12.启用网络流量记录
通常,日志应在所有级别上生成和维护(例如,用户访问权限,Tomcat内部信息等),但是网络流量日志记录对于违规评估和取证特别有用。要设置Tomcat应用程序以创建网络流量日志,请使用/配置 AccessLogValve 零件。
13.如果不使用自动部署,请禁用
如果你'重新运行完全实现的CI / CD管道,对您有好处-您'需要充分利用Tomcat'主机组件但是,如果没有,请确保将所有主机属性设置为 假 (autoDeploy,deployOnStartup, 和 deployXML),以防止攻击者入侵它们。
14. Disable or limit the 雄猫 Manager Webapp
雄猫 Manager可以通过一个Web界面轻松配置和管理Tomcat实例。无疑,对于授权管理员和攻击者而言,这都是方便的。因此,用于管理Tomcat实例的替代方法更好,但是如果必须使用Tomcat Manager,请确保使用其配置选项来限制风险暴露。
15.限制连接器的可用性
默认情况下,连接器侦听所有接口。为了提高安全性,他们应该只听Web应用程序所需的内容,而忽略其余内容。这可以通过设置 地址 连接器元素的属性。
简而言之,Apache 雄猫'流行总是意味着它的漏洞和漏洞被安全专业人员和恶意参与者所熟知。开箱即用的安全性不足以抵御当今的威胁'网络威胁,考虑到服务器平台,适当加固Tomcat尤其重要'无处不在。是否正在寻找一种方法,只需单击几下鼠标即可自动执行这些强化检查?查看ScriptRock'的漏洞检测和安全监控平台。它'最多可免费使用10台服务器,因此请立即尝试使用。
资料来源
//www.owasp.org/index.php/Securing_tomcat
//tomcat.apache.org/tomcat-8.0-doc/security-howto.html
//www.mulesoft.com/tcat/tomcat-security
//www.businessinsider.com/plane-hacker-talks-about-plane-hacking-at-grrcon-2012-2015-5
