如何预防后台被攻击？Tomcat 的安全配置来啦！( 二 ) _Tomcat

manager管理平台有4种角色，host-manager管理平台有2种角色，配置方式如图4所示。

文章插图
图 4. 管理平台角色配置
Web版管理控制台可以发布、停止、重新加载指定的web应用，如图5所示。

文章插图
图 5. Web版管理控制台
通过http://ip:port/manager/status ，查看Server-status服务器状态页面，如图6所示。

文章插图
图 6. 服务器状态页面
Server-status包含以下几部分信息：
服务器基本信息
服务器版本、JVM版本、操作系统、ip地址
系统信息
内存使用情况
JVM信息
JVM分配及使用情况
连接器信息
连接器请求处理线程的使用情况
host-manager管理控制台可以动态地添加一个虚拟主机。此外还可以启动、停止、删除虚拟主机，如图7所示。
通过http:// ip:port /host-manager/html 访问host-manager管理平台，因为默认添加了访问权限控制，第一次访问需要在conf/tomcat-users.xml文件中为当前用户添加角色，host-manager管理平台共有2种角色，分别为admin-gui和admin-，配置方式如图3所示。
• admin-gui：允许访问html页面接口(即URL路径为/manager/html/*) 。
• admin-：允许访问纯文本接口(即URL路径为/manager/text/*) 。

文章插图
图 7. host-manager管理平台页面
3. 管理平台安全加固
管理平台有发布管理应用的权限，默认情况下host-manager和manager应用存在安全风险，可能会产生严重的危害，所以针对Tomcat管理平台需通过以下几个方面进行安全加固。
• 如使用内置host-manager和manager管理应用，需要增加IP访问限制，在应
用下META-INF/context.xml文件中配置。修改allow属性的正则表达式。8.5版本前需要手动开启，而8.5版本之后，则默认开启只有本机可以访问。比如只允许ip地址10.232.150.78和10.232.150.80访问manager管理应用，将allow属性值修改为10.232.150.78|10.232.150.80即可，如图8所示。

文章插图
图8. IP访问限制配置方式
• 如需访问host-manager和manager应用需要分配相关的角色权限。我们还应
设置足够健壮的密码，建议加强口令强度，设置口令复杂度为8位以上，大小写字母、数字、特殊符号的组合，并定期更换密码，避免使用弱口令。
• 管理平台添加用户锁定功能，在server.xml中配置了org.Apache.catalina.real
m.LockOutRealm，LockOutRealm 是一个Tomcat的Realm实现，它扩展了CombinedRealm，假如在某一段时间内出现很多验证失败，则它能够提供锁定用户的功能，已避免攻击者进行密码暴力破解。LockOutRealm 配置方式, server.xml文件Engine元素内添加，如图9所示

文章插图
图9. LockOutRealm 配置
failureCount
用户身份验证验证失败的连续次数。默认为5 。
lockOutTime
身份验证失败后，用户被锁定的时间（以秒为单位）。默认为300（5分钟）。
LockOutRealm实现支持以下附加属性：
4. 管理平台入侵案例
今年我行某系统曾发现Tomcat管理平台暴露互联网及弱口令的高危漏洞。由于在互联网可直接访问系统Tomcat管理平台，可使用弱用户名密码admin/xxxxx成功登录。可对系统进行管控，同时具有上传恶意war包或者直接上传webshell脚本导致服务器被入侵等风险。
Tomcat管理平台有启动、停止、重新加载、监控Web应用等权限，所以管理后台的安全问题是Tomcat安全的重要部分，如果出现漏洞会对业务系统造成严重的危害，需要充分引起重视并进行安全加固。管理平台就是Tomcat服务器内置的两个web应用，如果使用管理平台需添加ip访问限制，Tomcat已提供此功能，需在白名单设置指定ip地址可以访问管理平台，另外还需设置健壮的登录密码来防止暴力破解。
安全措施不可忽视，继比特币勒索病毒风波之后，petya病毒又席卷众多国家计算机高防服务器，造成严重影响。Tomcat服务器同样面临着病毒、黑客、信息泄露等安全威胁。
总之，Tomcat与安全相关的配置，在实际开发过程中，需要结合应用系统的业务场景综合考虑，而非一味地堆积各种安全配置，否则不仅达不到预期效果，反而会影响系统的访问性能。此外，系统安全是一个非常复杂又非常重要的领域，包括网络、应用、数据、操作系统等诸多方面，本文只是介绍了与Tomcat相关的安全配置。