目录
10.避免为tomcat配置manager-gui弱口令(高危)
12.Apache Tomcat Cluster 不安全配置导致反序列化代码执行漏洞(高危)
前言 ??
? ? ? ? 本文你千载难逢,因为这些东西是需要花钱的,真真实实需要在服务器上操作的,最实用的东西,汇聚着阿里云专家团的绝学和智慧,江湖最高绝学,绝对值得一学,每一个都是可以实战的,非常实用,怎么让你的服务器更安全?怎么避免攻击?这你不想学吗?这么实用的东西,确定不学?
? ? ? ?如果是让你做一个网站,或者写功能性代码,那么不管你写的多好多坏,哪怕你的代码不够优雅,但总而言之,言而总之,基础的功能实现还是没问题的,总是可以跑起来的,哪怕它跑的方式不够优雅,总之,在经过千难万难之后,你的代码大多数时候还是能跑起来的,但是,问题的关键来了,你的代码总是要上服务器的,而服务器我们一般用linux系统,那么我们的服务器配置安全吗?服务器怎么避免被攻击?就算你代码写的再好,安全到一点漏洞都没有,服务器被攻陷了,那代码不就全部都暴露了吗?
? ? ? ?所以服务器的安全至关重要,但又刚好是大家的弱项。
? ? ? ?为避免文章过长,同时查找起来也方便些,本系列共分为4篇,分别讲述centos系统安全,mysql数据库安全、apache应用服务器安全、tomcat安全,这是最常用的几个了。
? ? ? ?第一篇:服务器自身安全基线
跟我学,你的服务器安全吗?第一篇----centos系统安全篇_zhumengyisheng的博客-CSDN博客你的服务器够安全吗?是否经常被黑客攻击?网站怎么又被黑了?这可怎么搞啊?本文主要为服务器的自身安全问题,主要为linux的系统安全问题,本文使用的是centos系统https://blog.csdn.net/zhumengyisheng/article/details/121866485? ? ?第二篇:数据库安全基线(主要使用mysql数据库)
跟我学,你的服务器安全吗?第二篇----数据库mysql安全篇_zhumengyisheng的博客-CSDN博客这是一篇非常值得收藏的文章,你的服务器会天天被黑客攻击吧?数据库又瘫痪了,数据库又被黑客入侵了,数据库怎么这么多事?怎么让数据库能安全些呢?急需指导,在线等,挺急的,再晚一会,老板都要破产了......https://blog.csdn.net/zhumengyisheng/article/details/121865391? ? ?第三篇:apache服务安全(跑网站的基础服务之一,主要应用于PHP)
https://blog.csdn.net/zhumengyisheng/article/details/121866723
https://blog.csdn.net/zhumengyisheng/article/details/121866723? ??第四篇:tomcat服务安全(java多用,跑java的,本节就讲它)
? ? ? ?本文将详细讲解服务器安全方面的问题,如果你用的是阿里云的服务器,那么阿里云有专门的安全中心可以提供检测,这是收费服务,如果你不是阿里云服务器,那么照着做,学习人家的配置自己的,让自己的服务器更安全。但是我推荐你最好用阿里云服务器,因为这些东西你修改后它会验证检测,同时告诉你是否还有什么问题,确保你的服务器各项配置安全准确。
? ? ? ?所以,如果你重视安全问题,害怕被攻击,那么本文不可多得,跟着做吧,但是最好还是买个阿里云服务器,它上面会指导你一项一项的做,最终防护好服务器安全。
? ? ?需要阿里云的话可以先领个红包,便宜些,腾讯云的话便宜的话也可以买,但是阿里云的安全服务很好,但是也是得花钱买才行,我觉得就是正式服务器买个阿里云的,测试机什么的腾讯云如果便宜的多的话也可以买腾讯云,省钱嘛。
? ? ? ?阿里云限量红包,速领。
阿里云限量红包
最新活动_阿里云最新活动,阿里云最全的优惠聚集地
浅谈VPS云服务器(内含神秘大额专属特惠)_zhumengyisheng的博客-CSDN博客怎么做一个网站?都需要什么?要个服务器?要个域名?去哪里买?哪个好啊?有优惠吗?所有的优惠都在这里了,给自己建个网站吧,毕竟要学以致用啊!https://blog.csdn.net/zhumengyisheng/article/details/121391896? ? ?下面的资料都来自于阿里云安全,是一些相关的建议,你可以根据这些建议,即使你不是用的阿里云,你也可以根据这些建议,加固你的服务器,确保你的服务器更加的安全,避免黑客攻击。
Tomcat是一个应用服务器。他可以运行你按照J2EE中的Servlet规范编写好的Java程序。 简单的说它是一个Web网站的运行容器,把你写好的网站放进去就可以运行。
本文主要讲述tomcat安全基线检查,适用于安装了tomcat服务的检查。
?1.限制服务器平台信息泄漏(高危)
限制服务器平台信息泄漏服务配置
描述
限制服务器平台信息泄漏会使攻击者更难确定哪些漏洞会影响服务器平台。
检查提示
--
加固建议
1、进入Tomcat安装主目录的lib目录下,比如 cd /usr/local/tomcat7/lib 2、执行:jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties,修改文件ServerInfo.properties中的server.info和server.number的值,如分别改为:Apache/11.0.92、11.0.92.0 3、执行:jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties 4、重启Tomcat服务
操作时建议做好记录或备份
确定
2.禁止显示异常调试信息(高危)
禁止显示异常调试信息服务配置
描述
当请求处理期间发生运行时错误时,ApacheTomcat将向请求者显示调试信息。建议不要向请求者提供此类调试信息。
检查提示
--
加固建议
在Tomcat根目录下的conf/web.xml文件里面的web-app添加子节点:<error-page><exception-type>java.lang.Throwable</exception-type><location>/error.jsp</location></error-page>,在webapps目录下创建error.jsp,定义自定义错误信息
操作时建议做好记录或备份
3.AJP协议文件读取与包含严重漏洞(高危)
AJP协议文件读取与包含严重漏洞入侵防范
描述
Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。漏洞影响非常严重,请及时采取防护措施修复。
检查提示
--
加固建议
1. 升级到以下安全版本进行防护
<table> <thead> <tr> <td style="width: 100px;">版本号</td> <td style="width: 250px;">下载地址</td> </tr> </thead> <tbody> <tr> <td >Apache Tomcat 7.0.100</td> <td>http://tomcat.apache.org/download-70.cgi</td> </tr> <tr> <td >Apache Tomcat 8.5.51</td> <td>http://tomcat.apache.org/download-80.cgi</td> </tr> <tr> <td >Apache Tomcat 9.0.31</td> <td>http://tomcat.apache.org/download-90.cgi</td> </tr> </tbody> </table>
2. 若不需使用AJP协议,可直接关闭AJP Connector,或将监听地址改为仅监听本机localhost?编辑配置文件server.xml,将AJP协议的Connector注释掉或删除,并重启服务。
<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->参考链接:?https://www.cnvd.org.cn/webinfo/show/5415
操作时建议做好记录或备份
4.开启日志记录(高危)
开启日志记录安全审计
描述
Tomcat需要保存输出日志,以便于排除错误和发生安全事件时,进行分析和定位
检查提示
--
加固建议
1、修改Tomcat根目录下的conf/server.xml文件。
2、取消Host节点下Valve节点的注释(如没有则添加)。
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log" suffix=".txt" pattern="%h %l %u %t "%r" %s %b" />?3、重新启动Tomcat操作时建议做好记录或备份
5.禁止Tomcat显示目录文件列表(高危)
禁止Tomcat显示目录文件列表服务配置
描述
Tomcat允许显示目录文件列表会引发目录遍历漏洞
检查提示
--
加固建议
修改Tomcat 跟目录下的配置文件conf/web.xml,将listings的值设置为false。?<param-name>listings</param-name>?<param-value>false</param-value>
操作时建议做好记录或备份
确定
6.禁止自动部署(高危)
禁止自动部署服务配置
描述
配置自动部署,容易被部署恶意或未经测试的应用程序,应将其禁用
检查提示
--
加固建议
修改Tomcat 根目录下的配置文件conf/server.xml,将host节点的autoDeploy属性设置为“false”,如果host的deployOnStartup属性(如没有deployOnStartup配置可以忽略)为“true”,则也将其更改为“false”
操作时建议做好记录或备份
确定
7.删除项目无关文件和目录(高危)
删除项目无关文件和目录访问控制
描述
Tomcat安装提供了示例应用程序、文档和其他可能不用于生产程序及目录,存在极大安全风险,建议移除
检查提示
--
加固建议
请删除Tomcat示例程序和目录、管理控制台等,即从Tomcat根目录的webapps目录,移出或删除docs、examples、host-manager、manager目录。
操作时建议做好记录或备份
确定
8.Tomcat目录权限检测(高危)
Tomcat目录权限检测访问控制
描述
在运行Tomcat服务时,避免使用root用户运行,tomcat目录(catalina.home、 catalina.base目录)所有者应改为非root的运行用户
检查提示
--
加固建议
使用chown -R <Tomcat启动用户所属组>:<Tomcat启动用户> <Tomcat目录>修改tomcat目录文件所有者,如chown -R tomcat:tomcat /usr/local/tomcat
操作时建议做好记录或备份
确定
9.Tomcat进程运行权限检测(高危)
Tomcat进程运行权限检测访问控制
描述
在运行Internet服务时,最好尽可能避免使用root用户运行,降低攻击者拿到服务器控制权限的机会。
检查提示
--
加固建议
创建低权限的账号运行Tomcat,操作步骤如下:
?--新增tomcat用户 useradd tomcat --将tomcat目录owner改为tomcat chown -R tomcat:tomcat /opt/tomcat -- 停止原来的tomcat服务 --切换到tomcat用户 su - tomcat --重新启动tomcat /opt/tomcat/bin/startup.sh操作时建议做好记录或备份
10.避免为tomcat配置manager-gui弱口令(高危)
避免为tomcat配置manager-gui弱口令访问控制
描述
tomcat-manger是Tomcat提供的web应用热部署功能,该功能具有较高权限,会直接控制Tomcat应用,应尽量避免使用此功能。如有特殊需求,请务必确保为该功能配置了强口令
检查提示
--
加固建议
编辑Tomcat根目录下的配置文件conf/tomcat-user.xml,修改user节点的password属性值为复杂密码, 密码应符合复杂性要求:
1、长度8位以上 2、包含以下四类字符中的三类字符: 英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字(0 到 9) 非字母字符(例如 !、$、#、%、@、^、&) 3、避免使用已公开的弱密码,如:abcd.1234 、admin@123等操作时建议做好记录或备份
11.AJP协议文件读取与包含严重漏洞(高危)
AJP协议文件读取与包含严重漏洞入侵防范
描述
Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。漏洞影响非常严重,请及时采取防护措施修复。
检查提示
--
加固建议
可使用以下方式修复加固
1. 升级到以下安全版本进行防护
| 版本号 | 下载地址 | | ---- | ---- | | Apache Tomcat 7.0.100 | http://tomcat.apache.org/download-70.cgi | | Apache Tomcat 8.5.51 | http://tomcat.apache.org/download-80.cgi | | Apache Tomcat 9.0.31 | http://tomcat.apache.org/download-90.cgi |
2. 若不需使用AJP协议,可直接关闭AJP Connector,或将监听地址改为仅监听本机localhost
编辑配置文件server.xml,将AJP协议的Connector注释掉或删除,并重启服务。
<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->操作时建议做好记录或备份
12.Apache Tomcat Cluster 不安全配置导致反序列化代码执行漏洞(高危)
Apache Tomcat Cluster 不安全配置导致反序列化代码执行漏洞?入侵防范
描述
Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。当Apache Tomcat集群使用了自带session同步功能,并且没有使用EncryptInterceptor,或者处于不可信的网络环境中,攻击者可能可以构造恶意请求,造成反序列化代码执行漏洞。目前网络上已披露相关利用代码,实际利用需要相关JDK版本支持以及Tomcat Session同步端点可访问。阿里云应急响应中心提醒Apache Tomcat用户尽快排查Cluster相关配置是否安全以防止漏洞攻击。
检查提示
--
加固建议
漏洞由不安全配置造成,加强配置即可防
13.Tomcat版本存在安全漏洞(高危)
Tomcat版本存在安全漏洞入侵防范
描述
以下Tomcat版本存在漏洞需要更新 1、 10.0.0-M1 to 10.0.0-M6 9.0.0.M1 to 9.0.36 8.5.0 to 8.5.56 8.0.1 to 8.0.53 7.0.27 to 7.0.104 Apache Tomcat WebSocket 拒绝服务漏洞 参考链接:https://avd.aliyun.com/detail?id=AVD-2020-13935 2、 Apache Tomcat 9.0.0.M1 to 9.0.0.M11 Apache Tomcat 8.5.0 to 8.5.6 Apache Tomcat 8.0.0.RC1 to 8.0.38 Apache Tomcat 7.0.0 to 7.0.72 Apache Tomcat 6.0.0 to 6.0.47 JmxRemoteLifecycleListener 组件远程代码执行漏洞 参考链接:https://avd.aliyun.com/detail?id=AVD-2016-8735 3、 Apache Tomcat 10.0.0-M1—10.0.0-M4 Apache Tomcat 9.0.0.M1—9.0.34 Apache Tomcat 8.5.0—8.5.54 Apache Tomcat 7.0.0—7.0.103 Apache Tomcat Session 反序列化代码执行漏洞 参考链接:https://avd.aliyun.com/detail?id=AVD-2020-9484
检查提示
--
加固建议
升级Tomcat为新版
操作时建议做好记录或备份
确定
? ? ? ?如需实践,最好的选择是阿里云,买一个也不贵,实践实践,毕竟安全无小事,安全从来都是互联网企业的命脉,一旦被入侵,轻则信息泄露,重则所有服务瘫痪,所有服务器沦陷,所有服务都没了,所有信息没了,这是要出大事的。
? ? ? 所以,懂安全的人的价值不言而喻,不用多说了吧?
? 阿里云限量红包,速领。
阿里云限量红包
最新活动_阿里云最新活动,阿里云最全的优惠聚集地