網(wǎng)絡(luò)安全等級(jí)保護(hù)中tomcat整改的探討

tomcat的相關(guān)情況

tomcat服務(wù)器是一個(gè)免費(fèi)的開放源代碼的Web應(yīng)用服務(wù)器，屬于輕量級(jí)應(yīng)用服務(wù)器，在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的場合下被普遍使用，是開發(fā)和調(diào)試JSP程序的首選。對(duì)于一個(gè)初學(xué)者來說，可以這樣認(rèn)為，當(dāng)在一臺(tái)機(jī)器上配置好Apache服務(wù)器，可利用它響應(yīng)HTML（標(biāo)準(zhǔn)通用標(biāo)記語言下的一個(gè)應(yīng)用）頁面的訪問請(qǐng)求。實(shí)際上Tomcat是Apache服務(wù)器的擴(kuò)展，但運(yùn)行時(shí)它是獨(dú)立運(yùn)行的，所以當(dāng)你運(yùn)行tomcat時(shí)，它實(shí)際上作為一個(gè)與Apache獨(dú)立的進(jìn)程單獨(dú)運(yùn)行的。

在我院微信預(yù)約掛號(hào)系統(tǒng)前置機(jī)中，就安裝了tomcat，作為日常業(yè)務(wù)運(yùn)作的主要支撐系統(tǒng)之一，tomcat的整改就很有必要。

改造前的概況

（一）tomcat版本情況

微信前置機(jī)使用了tomcat作為web應(yīng)用服務(wù)器，由于微信預(yù)約掛號(hào)等功能上線較早，配置服務(wù)器時(shí)使用的tomcat版本較低，后期也并未做過版本升級(jí)，這增加了web應(yīng)用服務(wù)器的風(fēng)險(xiǎn)。

（二）文檔和示例程序保存情況

在tomcat配置完成后，文檔和示例程序就不再是必要的文件存在，查看并刪除這些文件，不留漏洞讓不法分子有機(jī)可乘。

（三）控制臺(tái)口令情況

查詢tomcat控制臺(tái)，發(fā)現(xiàn)口令復(fù)雜度并未達(dá)到相應(yīng)要求，木桶原理，每一個(gè)薄弱處都有必要加固。

（四）檢查SHUTDOWN字符串設(shè)置情況

為了防止惡意用戶telnet到8005端口后，發(fā)送SHUTDOWN命令停止tomcat服務(wù)，設(shè)置復(fù)雜的字符串，防止惡意用戶猜測，查看tomcat發(fā)現(xiàn)并未做此設(shè)置。

（五）檢查運(yùn)行身份的設(shè)置情況

查看tomcat的啟動(dòng)腳本或服務(wù)，發(fā)現(xiàn)并未以tomcat身份運(yùn)行，這將降低了安全性，有必要進(jìn)行整改。

整改實(shí)用操作

（一）安裝新版本，修補(bǔ)漏洞

查看tomcat版本信息，版本號(hào)非最新，所以安裝最新版tomat，安裝地址為官網(wǎng)https://tomcat.apache.org/，下載后按照提示一步步安裝即可，前提是要保證升級(jí)后對(duì)業(yè)務(wù)不受影響，且升級(jí)時(shí)間點(diǎn)要選擇對(duì)業(yè)務(wù)影響最小的夜間比較好。

（二）刪除文檔和示例程序

tomcat安裝完畢正常使用后，有些文檔和示例程序就不需要了，留存下來會(huì)成為安全隱患，操作方法：打開tomcat_home/webapps文件夾，文檔和示例程序默認(rèn)存在docs和examples文件夾中，把這兩個(gè)文件夾刪除即可。

（三）加固tomcat控制臺(tái)，設(shè)置復(fù)雜的口令

1.檢查方法

（1）默認(rèn)通過http://ip:8080/manager/html可以訪問tomcatmanager，如果不需要使用，建議刪除tomcat_home/webapps/manager和host-manager文件夾；

默認(rèn)通過http://ip:8080/admin可以訪問tomcatadmin，如果不需要使用，建議刪除tomcat_home/webapps/admin文件夾

（2）如果需要使用tomcatmanager，打開tomcat_home/conf/tomcat-users.xml，查看用戶密碼復(fù)雜度，例如：

<rolerolename="manager"/>

<userusername="tomcat"password="復(fù)雜的口令"roles="manager"/>

2.加固方法

（1）刪除tomcat_home/webapps下的相關(guān)文件夾

（2）在tomcat-users.xml中為所有用戶設(shè)置復(fù)雜的密碼

（四）設(shè)置SHUTDOWN字符串

防止惡意用戶telnet到8005端口后，發(fā)送SHUTDOWN命令停止tomcat服務(wù)；首先通過打開tomcat_home/conf/server.xml，查看是否設(shè)置了復(fù)雜的字符串，發(fā)現(xiàn)沒有設(shè)置，則通過<Serverport="8005"shutdown="復(fù)雜的字符串">來設(shè)置復(fù)雜的字符串，防止惡意用戶猜測。

（五）設(shè)置運(yùn)行身份，以tomcat用戶運(yùn)行服務(wù)，增強(qiáng)安全性

查看tomcat的啟動(dòng)腳本或服務(wù)，確認(rèn)是否以tomcat身份運(yùn)行，服務(wù)器采用windowsserver2012操作系統(tǒng)，所以設(shè)置操作如下：

1.新建一個(gè)tomcat用戶；

2.設(shè)置tomcat用戶對(duì)tomcat_home的相關(guān)權(quán)限；

3.在服務(wù)管理器(service.msc)中找到tomcat服務(wù)，右鍵選擇屬性，設(shè)置登錄身份為tomcat用戶。

結(jié)語

數(shù)據(jù)庫整改方案操作需要一定專業(yè)知識(shí)，每一步都要衡量是否會(huì)對(duì)正在運(yùn)行的業(yè)務(wù)程序產(chǎn)生影響；盡量做到按此方案整改，能明顯提升數(shù)據(jù)庫的安全水平，這對(duì)于醫(yī)院業(yè)務(wù)工作可持續(xù)進(jìn)行起到重要的作用。

本文來源：《魅力中國》：http://m.00559.cn/w/wy/25805.html