开启日志记录
Tomcat需要保存输出日志,以便于排除错误和发生安全事件时,进行分析和定位
1、修改Tomcat根目录下的conf/server.xml文件。
2、取消Host节点下Valve节点的注释(如没有则添加)。
3、重新启动Tomcat
操作时建议做好记录或备份
禁止自动部署
配置自动部署,容易被部署恶意或未经测试的应用程序,应将其禁用
修改Tomcat 根目录下的配置文件conf/server.xml,将host节点的autoDeploy属性设置为“false”,如果host的deployOnStartup属性(如没有deployOnStartup配置可以忽略)为“true”,则也将其更改为“false”
操作时建议做好记录或备份
目录权限检测
在运行Tomcat服务时,避免使用root用户运行,tomcat目录(catalina.home、 catalina.base目录)所有者应改为非root的运行用户
使用chown -R <Tomcat启动用户所属组>:<Tomcat启动用户> <Tomcat目录>修改tomcat目录文件所有者,如chown -R tomcat:tomcat /usr/local/tomcat
操作时建议做好记录或备份
版本更新
当前tomcat版本较旧
升级Tomcat为新版
操作时建议做好记录或备份
AJP协议文件读取漏洞
Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致