Tomcat安全性注意事項

Tomcat安全性注意事項簡介

對于大多數用例來說，默認配置下的 Tomcat 都是相當安全的。有些環境可能需要更多（或更少）的安全配置。本文統一介紹了一下可能影響安全性的配置選項，并適當說明了一下修改這些選項所帶來的預期影響。目的是為了在評價 Tomcat 安裝時，提供一些應值得考慮的配置選項。

注意：本章內容畢竟有所局限，你還需要對配置文檔進行深入研究。在相關文檔中有更完整的屬性描述。

非 Tomcat 設置

Tomcat 配置不應成為唯一的防線，也應該保障系統（操作系統、網絡及數據庫，等等）中的其他組件的安全。

不應該以根用戶的身份來運行 Tomcat，應為 Tomcat 進程創建并分配一個專門的用戶，并為該用戶配置最少且必要的操作系統權限。比如，不允許使用 Tomcat 用戶實現遠程登錄。

文件權限同樣也應適當限制。就拿 ASF 中的 Tomcat 實例為例說明吧（禁止自動部署，Web 應用被部署為擴張的目錄。），標準配置規定所有的 Tomcat 文件都由根用戶及分組用戶所擁有，擁有者具有讀寫特權，分組只有讀取特權，而 World 則沒有任何特權。例外之處在于，logs、temp 以及 work 目錄的權限都由 Tomcat 用戶而不是根用戶所擁有。這意味著即使攻擊者破壞了 Tomcat 進程，他們也不能改變 Tomcat 配置，無法部署新應用，也無法修改現有應用。Tomcat 進程使用掩碼 007 來維護這種權限許可。

對于網絡層面，需要使用防火墻來限制進站與出站連接，只允許出現那些你希望的連接。

默認的 Web 應用概述

Tomcat 安裝時自帶了一些默認啟用的 Web 應用。過去一段時間內發現了不少關于這些應用的漏洞。用不到的應用就該刪除，以避免給系統帶來相關漏洞而產生的安全風險。

ROOT

ROOT 應用帶來安全風險的可能性非常小，但它確實含有正在使用的 Tomcat 的版本號。應該從可公開訪問的 Tomcat 實例中清除 ROOT 應用，不是出于安全性原因，而是因為這樣能給用戶提供一個更適合的默認頁面。

Documentation

Documentation 帶來安全風險的可能性非常小，但》它標識出了當前正使用的 Tomcat 版本。應該從可公開訪問的 Tomcat 實例中清除該應用。

Examples

應該從安全敏感性安裝中移除 examples 應用。雖然 examples 應用并不包含任何已知的漏洞，但現已證明，它所包含的一些功能可以被攻擊者利用，特別是一些顯示所有接收內容，并且能設置新 cookie 的 cookie 范例。攻擊者將這些公關和部署在 Tomcat 實例中的另一個應用中的漏洞相結合，就能獲取原本根本不可能得到的信息。

Manager

由于 Manager 應用允許遠程部署 Web 應用，所以經常被攻擊者利用，因為應用的密碼普遍強度不夠，而且大多在 Manager 應用中啟用了 Tomcat 實例可公開訪問的功能。Manager 應用默認是不能訪問的，因為沒有配置能夠執行這種訪問的用戶。如果啟用 Manager 應用，就應該遵循 保證管理型應用的安全性 一節中的指導原則。

Host Manager

Host Manager 應用能夠創建并管理虛擬主機，包括啟用虛擬主機的 Manager 應用。Host Manager 應用默認是不能訪問的，因為沒有配置能夠執行這種訪問的用戶。如果啟用 Host Manager 應用，就應該遵循 保證管理型應用的安全性 一節中的指導原則。

保證管理型應用的安全性

在配置能夠為 Tomcat 實例提供管理功能的 Web 應用時，需要遵循下列指導原則：

• 保證任何被允許訪問管理應用的用戶的密碼是強密碼。
• 不要放棄使用 LockOutRealm，它能防止暴力破解者攻擊用戶密碼。
• 將 /META-INF/context.xml 中的限制訪問 localhost 的RemoteAddrValve 取消注釋。如果需要遠程訪問，使用該值可限制到特定的 IP 地址。

安全管理器（Security Manager）

啟用安全管理器能讓 Web 應用運行在沙盒中，從而極大限制 Web 應用執行惡意行為的能力——比如調用 System.exit()，在 Web 應用根目錄或臨時目錄外建立網絡連接或訪問文件系統。但應注意的是，有些惡意行為是安全管理器所無法阻止的，比如利用無限循環產生 CPU 極大開銷。

啟用安全管理器經常用來限制潛在影響，比如防止攻擊者通過某種方式危害受信任的 Web 應用。安全管理器也可能被用來減少運行不受信任的 Web 應用（比如在托管環境中）所帶來的風險，但它只能減少這種風險，并不能終止不受信任的 Web 應用。如果運行多個不受信任的 Web 應用，強烈建議將每個應用都部署為獨立的 Tomcat 實例（理想情況下還需要部署在獨立的主機上），以便盡量減少惡意 Web 應用對其他應用產生的危害。

Tomcat 已經過安全管理器的測試。但大多數 Tomcat 用戶卻沒有運行過安全管理器，所以 Tomcat 也沒有相關的用戶測試過的配置。現在已經（并會繼續）報告指出了一些關于運行安全管理器時產生的 Bug。

安全管理器在運行時所暴露出的限制可能在于中斷很多應用。所以，在未經大量測試前，還是不要使用它為好。理想情況下，安全管理器應該在開發前期使用，因為對于一個成熟的應用來說，啟用安全管理器后，記錄修補問題會極大浪費時間。

啟用安全管理器會改變下列設置的默認值：

• Host 元素的 deployXML 屬性默認值會被改為 false。