一、关于运维 Tomcat时应该具备的一些常识:
1、Tomcat进程运行权限检测 ,在运行Internet服务时,最好尽可能避免使用root用户运行,降低攻击者拿到服务器控制权限的机会。
加固建议
创建低权限的账号运行Tomcat
操作时建议做好记录或备份
2、删除tomcat项目无关文件和目录
描述
Tomcat安装提供了示例应用程序、文档和其他可能不用于生产程序及目录,存在极大安全风险,建议移除
检查提示
--
加固建议
请删除Tomcat示例程序和目录、管理控制台等,即从Tomcat根目录的webapps目录,移出或删除docs、examples、host-manager、manager目录。
操作时建议做好记录或备份
3、限制服务器平台信息泄漏 |
描述
限制服务器平台信息泄漏会使攻击者更难确定哪些漏洞会影响服务器平台。
检查提示
--
加固建议
1、进入Tomcat安装主目录的lib目录下,比如 cd /usr/local/tomcat7/lib 2、执行:jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties,修改文件ServerInfo.properties中的server.info和server.number的值,如分别改为:Apache/11.0.92、11.0.92.0 3、执行:jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties 4、重启Tomcat服务
4、禁止自动部署
描述
配置自动部署,容易被部署恶意或未经测试的应用程序,应将其禁用
检查提示
--
加固建议
修改Tomcat 跟目录下的配置文件conf/server.xml,将host节点的autodeploy属性设置为“false”,如果host的deploystartup属性(没有可以忽略)为“true”,则也将其更改为“false”
操作时建议做好记录或备份
5、禁止显示异常调试信息
描述
当请求处理期间发生运行时错误时,ApacheTomcat将向请求者显示调试信息。建议不要向请求者提供此类调试信息。
检查提示
--
加固建议
在Tomcat根目录下的conf/web.xml文件里面的web-app添加子节点:<error-page><exception-type>java.lang.Throwable</exception-type><location>/error.jsp</location></error-page>,在webapps目录下创建error.jsp,定义自定义错误信息
操作时建议做好记录或备份
6、开启日志记录
描述
Tomcat需要保存输出日志,以便于排除错误和发生安全事件时,进行分析和定位
检查提示
--
加固建议
1、修改Tomcat根目录下的conf/server.xml文件。
2、取消Host节点下Valve节点的注释(如没有则添加)。
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log" suffix=".txt" pattern="%h %l %u %t "%r" %s %b" /> 3、重新启动Tomcat
操作时建议做好记录或备份
二、Win2008运维:
1、关闭端口445;
在网络和共享中心中,把适配器配置中属性-》Microsoft 网络的文件和打印机共享的勾去掉。
2、关闭其他137、135、189端口。
3、2017-9-微软.NET安全更新(Windows 2008R2 SP1 )- KB4040966
Microsoft .NET Framework是用于Windows的新托管代码编程模型。 Microsoft .NET Framework存在远程代码执行漏洞,主要影响.NET 框架的SOAP WSDL (Web 服务描述语言)解析器,攻击者可通过构造恶意Microsoft Office RTF文档利用该漏洞传播恶意软件。
【学习中】
4、设置密码使用期限策略
描述
设置密码使用期限策略,减少密码被泄漏和猜测风险
检查提示
--
加固建议
在管理工具打开本地安全策略,打开路径:安全设置帐户策略密码策略,将密码最长使用期限设置为30-180之间,建议值为90,将密码最短使用期限设置为1-14之间,建议值为7.
操作时建议做好记录或备份
5、密码复杂性配置
描述
设置强密码,减少密码被泄漏和猜测风险
检查提示
--
加固建议
在管理工具打开本地安全策略,打开路径:安全设置帐户策略密码策略,将密码必须符合复杂性要求设置为已启用,将密码最小长度设置为8以上。
操作时建议做好记录或备份
6、'强制密码历史'设置为5-24之间
描述
设置强制密码历史,防止重复使用最近使用过的密码
检查提示
--
加固建议
在管理工具打开本地安全策略,打开路径:安全设置帐户策略密码策略,将强制密码历史设置为5-24之间
操作时建议做好记录或备份
7、配置账户锁定策略
描述
配置账户锁定策略,降低被爆破和猜测风险
检查提示
--
加固建议
在管理工具打开本地安全策略,打开路径:安全设置帐户策略账户锁定策略。将账户锁定阈值设置为3-8之间,建议值为5,输错5次密码锁定账户;然后将账户锁定时间和重置账户锁定计数器设置为10-30之间,建议值为15,账户锁定时间为15分钟。
操作时建议做好记录或备份
8、禁止未登录强制关机
描述
禁止未登录强制关机
检查提示
--
加固建议
在管理工具打开本地安全策略,打开路径:安全设置本地策略安全选项。将"关机:允许在未登录时关闭系统"设置为:已禁用
操作时建议做好记录或备份
9、匿名账户访问控制
描述
匿名账户访问控制
检查提示
--
加固建议
在管理工具打开本地安全策略,打开路径:安全设置本地策略安全选项。将网络访问中“Everyone权限应用于匿名用户“设置为:已禁用,将“不允许SAM帐户的匿名枚举“设置为:已启用,将“不允许SAM帐户和共享的匿名枚举”设置为:已启用,将”允许匿名SID/名称转换“设置为:已禁用。
操作时建议做好记录或备份
10、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 | 安全审计
描述
开启审核策略,对重要的用户行为和重要安全事件进行审计
检查提示
--
加固建议
在管理工具打开本地安全策略,打开路径:安全设置本地策略审核策略,将全部审核策略配置为:成功,失败。包括审核策略更改、审核对象访问、审核进程跟踪、审核目录服务访问、审核账户登陆事件、审核特权使用、审核系统事件、审核账户管理、审核登陆事件共九项。
操作时建议做好记录或备份
11、注册表自启动项 | 服务配置
描述
检查项注册表路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的Userinit中可疑启动项
检查提示
--
加固建议
检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的Userinit中的危险启动项并删除,注意不要删除系统默认启动项C:\Windows\system32\Userinit.exe
操作时建议做好记录或备份
12、风险账户检查 | 身份鉴别
描述
检查Windows系统可疑的隐藏账号
检查提示
--
加固建议
存在可疑隐藏账号,建议确认后删除
操作时建议做好记录或备份
13、密码使用到期修改提醒 | 身份鉴别
描述
'交互式登录:提示用户在过期前修改密码',提示时间设置为5到14天之间
检查提示
--
加固建议
在GP(组策略)中将以下路径中设置为5~14:本地计算机策略计算机配置Windows 设置安全设置本地策略安全选项交互式登录:提示用户在过期前修改密码
操作时建议做好记录或备份
14、设置空闲会话断开时间 | 访问控制
描述
设置空闲会话断开时间和启用登陆时间过期后断开与客户端的连接设置
检查提示
--
加固建议
在管理工具打开本地安全策略,打开路径:安全设置本地策略安全选项。将Microsoft网络服务器中的"暂停会话之前所需的空闲时间数量"设置为:5-30之间,建议值为15;将"登陆时间过期后断开与客户端的连接"设置为:已启用。
操作时建议做好记录或备份
16、配置安全选项账户策略 | 身份鉴别
描述
配置安全选项账户策略,限制空密码账户和禁用guest账户
检查提示
--
加固建议
在管理工具打开本地安全策略,打开路径:安全设置本地策略安全选项。将"账户:来宾账户状态"设置为:已禁用;将"账户:使用空密码的本地账户只允许控制台登陆"设置为:启用。
操作时建议做好记录或备份