Tomcat安全部署实战指南

华盟学院山东省第二期线下学习计划

0x01 关于Tomcat,更多详情大家可直接参考百科说明

https://zh.wikipedia.org/wiki/Apache_Tomcat

此次演示环境

CentOS7 x86_64 ip: 192.168.3.64

Apache Tomcat/8.5.24 建议大家使用较新版的稳定版本

0x02 首先,在正式部署Tomcat之前,需要先来准备好jdk环境,因为毕竟底层还是在靠java来处理,所以必须要先得有java的运行环境才行,其实,在实际生产环境中,也可以单独使用jre,不过个人觉得这和安全的关系并不大,试想,如果你手里都已经拿到了一个可以运行java的环境了,我在本地用对应版本的jdk编译好了再丢上运行也是一样,防不住啥,太泛泛

# tar xf jdk-8u151-linux-x64.tar.gz

# mv jdk1.8.0_151/ /usr/local/

# ln -s /usr/local/jdk1.8.0_151/ /usr/local/jdk

# tar xf apache-tomcat-8.5.24.tar.gz

# mv apache-tomcat-8.5.24 /usr/local/

# ln -s /usr/local/apache-tomcat-8.5.24/ /usr/local/tomcat

# ll /usr/local/

# vi /etc/profile

export JAVA_HOME=/usr/local/jdk/

export PATH=$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH

export CLASSPATH=.$CLASSPATH:$JAVA_HOME/lib:$JAVA_HOME/jre/lib:$JAVA_HOME/lib/tools.jar

export TOMCAT_HOME=/usr/local/tomcat

# source /etc/profile

# java -version

# javac

0x03 务必专门创建一个普通用户来运行tomcat服务,防止入侵者直接拿到root权限的webshell,极度建议大家实际应用中在满足当前及拓展业务需求的前提下,尽量把tomcat压缩在一个极小的系统权限下,最好,除了指定的事儿,其它的让它啥也干不了

# useradd -u 301 tomcat

# passwd tomcat

# chown -R tomcat:tomcat /usr/local/tomcat/

# chown -R tomcat:tomcat /usr/local/jdk/

# ll /usr/local/jdk/ /usr/local/tomcat/

# su - tomcat

$ /usr/local/tomcat/bin/catalina.sh start

$ netstat -tulnp

$ cat /usr/local/tomcat/logs/catalina.out  启动过程中如果有什么问题可以去该日志

0x04 理解Tomcat的基本目录结构

# tree -L 1 /usr/local/tomcat/

/usr/local/tomcat/

├── bin    主要用来放置各种tomcat服务管理脚本

├── conf    用于存放Tomcat服务的各类配置文件

├── lib    此目录用于存放Tomcat的核心类库文件

├── LICENSE

├── logs    主要用于放置Tomcat的启动和访问日志文件

├── NOTICE

├── RELEASE-NOTES

├── RUNNING.txt

├── temp    存放一些缓存临时数据的目录

├── webapps    默认的站点根目录

└── work    把jsp代码转换为java代码[class]文件时的存放目录,这就是为什么访问速度极快的原因之一,只需编译一次,后续直接访问`缓存`

0x05 理解Tomcat各个配置文件的主要功用

# tree -L 1 /usr/local/tomcat/conf/

/usr/local/tomcat/conf/

├── Catalina

├── catalina.policy   当带上-security选项启动tomcat时,会自动读取并应用该文件中的策略配置

├── catalina.properties   有关Tomcat内部各种类加载器的一些配置

├── context.xml   此处的context.xml是作用于域全局的,一般情况下,每个站点目录下都应有一个context.xml文件,用于定义会话管理器,JDBC等

├── jaspic-providers.xml

├── jaspic-providers.xsd

├── logging.properties   指定不同类日志的格式

├── server.xml   tomcat主配置文件

├── tomcat-users.xml   用于tomcat web管理端认证的配置文件

├── tomcat-users.xsd

└── web.xml   站点被部署时使用的默认部署配置项

0x05 深入理解tomcat的运作细节及常用组件

简单回顾Tomcat的基本运作细节

-> 此处,以请求 http://www.rootkit.org:8080/demo/index.jsp 为例

-> 首先,客户端来请求www.rootkit.org的8080端口,正好被监听于此的Http Connector所捕获

-> 随后,Connector会把该请求交给它所在的Service中的Engine去处理并等待Engine回应

-> 当Engine拿到这个请求后,会自动根据请求中的www.rootkit.org这个域名来匹配到它内部属于哪个Host,然后直接丢给那个Host

-> 当请求到达指定的Host时,Host会自动匹配出Path为/demo所在的Context

-> 之后,对应Context会拿到/index.jsp请求,再到映射表中找出对应的Servlet类去处理,如,构造HttpServletRequest和HttpServletResponse对象

-> Context会把处理好之后的HttpServletResponse对象返回给Host

-> Host再把HttpServletResponse对象返回给Engine

-> 最后,Engine把HttpServletResponse对象返回对应的Connector,至此,一次相对完整的Tomcat请求响应过程就基本完成了

关于上述提到的各个组件功用简介

Tomcat安全部署实战指南

tomcat 主配置文件结构大致如下

<Server>

<Service>

<Connector/>

<Engine>

<Host>

<Context></Context>

</Host>

</Engine>

</Service>

<Service>

...

</Service>

</Server>

0x06 一个标准的 Java web 目录结构,如下

Tomcat安全部署实战指南

0x07 如何快速纯手工在Tomcat中自定义一个基于域名的虚拟主机,还是那句话,实际中机器性能够的情况下,建议用tomcat多实例,不建议用虚拟主机

先准备好站点所需的各种目录,务必要严格按照上面的java web标准来

# mkdir /data/{javaweb,logs} -p

# chown -R tomcat:tomcat /data/

$ su - tomcat

$ cd /data/javaweb/

$ mkdir secapp/{lib,classes,WEB-INF,META-INF} -p

$ vi secapp/index.jsp

<html>

<body>

<br>

<center><h1>This is a Tomcat Server 8.x </h1>

<br><h2>Now time is: <%=new java.util.Date()%></h2></center>

</body>

</html>

再到tomcat主配置文件中添加Host标签段,记得禁用自动部署和自动解war包

$ vi /usr/local/tomcat/conf/server.xml

<Host name="www.sec.org" appBase="/data/javaweb/secapp" autoDeploy="false" unpackWARs="true">

<Context path="" docBase="." debug="0" />

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="/data/logs"

prefix="www.sec.org_access_log" suffix=".txt"

pattern="%h %l %u %t &quot;%r&quot; %s %b" />

</Host>

$ /usr/local/tomcat/bin/catalina.sh stop

$ cd /usr/local/tomcat/   重启前最好把下面两个目录中的内容清空,防止缓存作祟

$ rm -fr ./temp/*

$ rm -fr ./work/*

$ /usr/local/tomcat/bin/catalina.sh start 

$ cat /usr/local/tomcat/logs/catalina.out 查看tomcat启动日志,一般来这儿都是为了看报错

$ tail -f /data/logs/www.sec.org_access_log.2017-12-17.txt

$ tree /usr/local/tomcat/work/

Tomcat安全部署实战指南

0x08 配置Tomcat的web端管理功能,此功能比较危险,容易被人跑到管理账号密码,直接进来即可部署webshell,如非必须,建议删除

$ vi /usr/local/tomcat/conf/tomcat-users.xml

<role rolename="manager-gui"/>

<role rolename="admin-gui"/>

<user username="tomcat" password="tomcat" roles="manager-gui,admin-gui"/> 让tomcat同时应用于两个角色

$ /usr/local/tomcat/bin/catalina.sh start    修改完配置后重启tomcat

$ /usr/local/tomcat/bin/catalina.sh stop

0x09 修改管理端口及用于关闭服务的字符串,默认为8005,SHUTDOWN,实际中,一般也不会用这种方式来关闭tomcat,所以,可以把关闭字符串设的更长更随机一些,不过,好在最新版本tomcat默认只监听在127.0.0.1,所以对此项不必太过紧张

$ vi /usr/local/tomcat/conf/server.xml

<Server port="9301" shutdown="a8HelEd45fm43LseDF">

0x10 修改AJP协议通信端口,其实你可以直接把该项注释掉,因为绝大多数情况下我们都只会使用http协议进行反向代理,而不会用AJP协议

$ vi /usr/local/tomcat/conf/server.xml

<!-- <Connector port="8010" protocol="AJP/1.3" redirectPort="8443" />-->

0x11 禁止tomcat目录遍历,将param-value标签中的值改为false,其实默认就是禁止的,只不过为了保险,还是需要再确认一下

$ vi /usr/local/tomcat/conf/web.xml

<init-param>

<param-name>listings</param-name>

<param-value>false</param-value>   <!-- false即表示禁止目录遍历 --> 

</init-param>

<welcome-file-list> <!-- 设置主页索引文件 -->

<welcome-file>index.html</welcome-file>

<welcome-file>index.htm</welcome-file>

<welcome-file>index.jsp</welcome-file>

<welcome-file>demo.jsp</welcome-file>

</welcome-file-list>

Tomcat安全部署实战指南

0x12 隐藏服务器版本信息,为了能一定程度上防止被人用0day批量打,我们需要将tomcat的详细版本稍微隐藏下,比如,在出现403,404,500这样的状态码时,就很容易会暴露我们web服务器的详细版本,当然,你也可以直接把指定的状态码重定向到指定的页面上

$ cd /usr/local/tomcat/lib/

$ unzip catalina.jar

$ cd org/apache/catalina/util/

$ vi ServerInfo.properties

server.info=Microsoft-IIS/7.5

server.number=7.5

server.built=Nov 27 2017 13:05:30 UTC

$ cd /usr/local/tomcat/lib/

$ jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties

$ /usr/local/tomcat/bin/catalina.sh stop

$ /usr/local/tomcat/bin/catalina.sh start

Tomcat安全部署实战指南

0x13 修改http响应头中的server字段名称,只需要在http连接器中添加指定的server属性即可

$ vi /usr/local/tomcat/conf/server.xml

<Connector port="8080" protocol="HTTP/1.1"

connectionTimeout="20000"

redirectPort="8443" server="Microsoft-IIS/7.5" />

Tomcat安全部署实战指南

0x14 最好把所有Host组件中的自动部署选项全部关掉

$ vi /usr/local/tomcat/conf/server.xml

<Host name="www.sec.org" appBase="/data/javaweb/secapp" autoDeploy="false" unpackWARs="true">

0x15 如果我们是在前面使用apache或者nginx做的反向代理,也可通过限制特定ip的方式来访问,如下,表示仅允许192.168.3.0/24这个内网段来访问

$ vi /usr/local/tomcat/conf/server.xml

<Host>

...

<Context path="" docBase="." debug="0" />

<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="192.168.4.*" deny="*.*.*.*" />

...

</Host>

Tomcat安全部署实战指南

0x16 限制其他用户对tomcat各类服务管理工具的使用

$ chmod -R 744 /usr/local/tomcat/bin/*

0x17 配置更加详细的访问日志格式,方便后续做入侵审查,如添加记录 user-agent,referer 字段数据

$ vi /usr/local/tomcat/conf/server.xml

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="/data/logs"

prefix="www.sec.org_access_log" suffix=".txt"

pattern="%h %l %u %t &quot;%r&quot; %s %b %{Referer}i %{User-Agent}i %D" resolveHosts="false" />

Tomcat安全部署实战指南

0x18 关于Tomcat 7.x 版本,你可能还需要手工去禁用一些危险请求方法,将readonly的值设为true,即禁止DELETE及PUT方法,如下,不过在新版中,默认就处于禁用状态,无需关心

$ vi /usr/local/tomcat/conf/web.xml

<init-param>

<param-name>readonly</param-name>

<param-value>true</param-value>

</init-param>

0x19 必要情况下,可直接禁用tomcat提供的默认web管理端,防止入侵者用此方式部署webshell,此处采用的禁用方式只是把原来web管理端的文件都重新放到别的目录中,而后再到主配置文件中去注释掉默认的locahost所对应的host组件,最后重启tomcat即可,话说回来,status可以留着,因为可能后续还要靠此来监控jvm的一些性能参数,大家还是酌情而定吧

$ cd /usr/local/tomcat/webapps/

$ mkdir tmp

$ mv docs/ examples/ host-manager/ manager/ ROOT/ ./tmp/

<!-- 

<Host name="localhost"  appBase="webapps"

unpackWARs="true" autoDeploy="true">

-->

<!--

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"

prefix="localhost_access_log" suffix=".txt"

pattern="%h %l %u %t &quot;%r&quot; %s %b" />

</Host>

-->

0x20 最后,时常去关注tomcat官方发布的一些高危漏洞补丁,tomcat 8.x 已经相对比较稳定了,所以也建议大家,务必在稳定的前提下使用更新一点的版本

后话:

因为关注的点不同,所以肯定有所偏颇,此处还是旨在防入侵,至于针对jvm的各种性能优化,后续有机会我们再单独说明,因为tomcat几乎都不会直接面向用户,大多都是通过反向代理的方式来提供服务的,另外,java自身的安全性和性能采用编译的方式来运行都要优于php,所以,针对tomcat的安全并没有像nginx或者apache压力那么大,而且由于tomcat是在后端,也相对比较好控制,虽然它到现在对java的一些类库支持的还不是很完整,但那些对我们而言暂时无需关心,以上部署仅供参考,并不完整,后续还会不断更新,大家可根据自己的实际业务需求再做进更进一步调整,关于java对渗透的功用,比如,免杀…想必大家也都非常熟悉了,这里就不多说了,更多其它内容,也非常欢迎大家来一起私信交流 ^_^

www.idc126.com

文章出处:klion's blog

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论