必须及时安装与安全相关的Tomcat更新：

¬ 必须在10天内安装高危或重要优先级的更新和补丁。

¬ 必须在发布后30天内安装中等优先级的更新和补丁。

¬ 必须在发布后90天内安装低优先级更新。

有关补丁的可用性和严重性的信息，请参见http://tomcat.apache.org/lists.html#tomcat-announce。

更新可能会影响功能。关于核心/业务方面的Tomcat的更新可能带来的副作用，请查看http://tomcat.apache.org/lists.html#tomcat-announce。

[出自:jiwo.org]

强制

在系统上以低权限运行Tomcat应用程序。创建一个专门的 Tomcat服务用户，该用户只能拥有一组最小权限（例如不允许远程登录）。必须检查以最小特权用户身份使用操作系统资源库安装程序的行为，以确保Tomcat不以root /管理员身份运行。必须在配置启动机制的操作系统层级上确保这一点（例如Microsoft Windows上的Windows服务或Unix上的rc脚本）：

图一：Windows服务配置

关于安全的服务配置，请参考ERNW Windows加固指南

图二：FreeBSD rc脚本

具体配置与Unix系统和Tomcat版本有关。例如FreeBSD上的Tomcat 7已经不支持配置rc.conf中的用户帐户，因此用户名被硬编码在启动脚本中—这是不推荐的。在FreeBSD上，web和应用服务器应该是以www用户身份运行，可参考http://www.freebsd.org/doc/en/books/porters-handbook/using-php.html#WEB-APPS。

强制

Tomcat文件夹只能由tomcat用户本身访问，尤其是对于目录${tomcat_home}/conf /和${tomcat_home}/webapps。

当不需要通过应用程序服务器自动部署时，标准配置就是将所有Tomcat文件的所有者设置为root，并且所属群组设置为Tomcat。然后用chmod 740仅允许root用户编辑文件并允许Tomcat用户读取文件。例外是，临时和工作目录的所有者应该是Tomcat用户而不是root用户。

该设置会影响自动部署。（参见第8.5小节）

可选

如果要使用Manager应用程序，应该只允许从授权的IP地址访问其管理界面。

这可以通过在CATALINA_HOME/webapps/manager/META-INF/context.xml文件中的做以下设置来实现。以下设置只允许从本地主机和特定IP地址或IP地址段访问管理界面：

也可使用主机名：

allow和deny都支持正则表达式（使用java.util.regex）

可选

根据给定的任务，只能赋予相应角色的权限给用户。角色如下，并且要记得只赋予最小权限：

¬   manager-gui：可以访问web界面

¬   manager-status：只可以访问“Server Status”页面

¬   manager-script: 可以脚本文本界面和“Server Status”页面

¬   manager-jmx：可以访问JMX代理界面和“Server   Status”页面

强制

如果要使用Manager应用程序，则还应该附加额外的身份认证机制。认证机制优先级如下：

1 LDAPS或客户端证书

2 本地（基于消息摘要）

可选

对于本地和基于证书的身份验证，必须部署账户锁定机制（对于集中式认证，目录服务也要做相应配置）。为防止暴力破解，使用的认证域必须放在做了如下配置的锁定域中：

编辑CATALINA_HOME/conf/server.xml文件，并添加配置如下的锁定域：

<Realm   className="org.apache.catalina.realm.LockOutRealm"

failureCount="5"   lockOutTime="30">

强制

有几个域不适合用作生产用途，这些域必须被禁用。

打开文件CATALINA_HOME/conf/server.xml，搜索MemoryRealm并禁用之。JDBCRealm也必须被禁用，改用DataSourceRealm。使用大规模安装时，请勿使用UserDatabaseRealm并也将其禁用。

强制

所有的web应用程序的会话超时必须设置为20分钟。

可通过编辑CATALINA_HOME/conf/web.xml文件并做以下配置来实现：

20

强制

Tomcat 7对会话cookie自动启用HttpOnly   cookie标记，查看配置以确保该选项为被禁用。

要启用HttpOnly，必须在CATALINA_BASE/conf/context.xml中做如下设置，使之全局应用于所有应用程序：

在需要通过JavaScript访问会话cookie的情况下，使用HttpOnly可能会影响应用程序功能。如果应用程序需要通过JavaScript访问HttpOnly cookie，可以在METAINF/context.xml中一个单独的Context中定义一个异常。

强制

为保护应用程序，必须启用Tomcat的跨站请求伪造防护。Tomcat 7提供了基本的CSRF防护。可以在CATALINA_BASE/conf/web.xml中配置一个全局过滤器。该过滤器可以被每个使用WEB-INF/web.xml文件的应用程序覆盖。

必须做以下设置：

CSRFPreventionFilter

/*

有关详细说明和其他选项，请参阅Tomcat手册：http://tomcat.apache.org/tomcat-7.0-doc/config/filter.html#CSRF_Prevention_Filter。

使用CSRF防护可能会影响程序功能，必须要牢记这一点，尤其是在应用程序大量使用异步请求的情况下。

强制

不要让连接器（connector）监听服务器上所有可用的网络接口和IP地址，而要让连接器监听指定的网络接口和IP地址。

编辑CATALINA_HOME/conf/server.xml，查看每个Connector并指定正确的IP地址：

<Connector port="TCP_PORT"   address="LISTEN_IP_ADDRESS"…

这样可以防止应用程序意外地运行在某个开放的网络接口上。

强制

只开放必须要的Tomcat端口。默认TCP端口是8080和8443。确保在Tomcat和可安装在系统上的现有的包过滤器中正确配置这些端口。

打开CATALINA_HOME/conf/server.xml文件，查看每个Connector的端口配置。移除不需要的端和Connector。

强制

为了保护敏感的应用程序（比如Manager应用程序），必须使用并配置SSL（对于处理敏感数据或提供登录功能的应用程序也是必需的）。第一步是创建可信的证书，以避免证书警告，并向终端用户提供一种验证可信连接的方法。

第二步是创建一个证书密钥库（keystore），其中包含CA、服务器证书和相应的私钥。密钥库的密码应按照之前的“保障密码安全”小节中建议来创建。

要启用SSL支持，可以使用以下配置（实际配置取决于给定的平台和要求），并且必须放在CATALINA_HOME/conf/server.xml中：

通过添加以下密码套件（cipher suite）至SSL Connector来指定可用的SSL加密方式：

<Connector   ciphers="SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA,   TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA,   SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,   SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA" …

为了使托管在Tomcat上的所有web应用程序强制使用HTTPS，必须在每个CATALINA_HOME/webapps/$WEBAPP/WEB-INF/web.xml文件里每个security-constraint标签关闭（标签）之前包含以下内容：

CONFIDENTIAL

强制

可用Java   SecurityManager限制单个应用程序的功能。$CATALINA_HOME/conf/catalina.policy文件包含了Java   SecurityManager使用的安全策略的配置。一旦配置了catalina.policy文件，便可以使用SecurityManager和--security选项启动Tomcat。想了解全面的配置介绍，请参阅官方的Tomcat SecurityManager教程：http://tomcat.apache.org/tomcat-7.0-doc/security-manager-howto.html

因为基本上所有的权限类型（比如访问单个文件和目录或Java包）都应该根据每个应用程序进行单独配置，所以这会大大增加操作成本。另外，限制过于严格的策略文件会影响应用程序的功能。

可选

Tomcat可限制对某些Java包的访问。如果检测到受限制的包被访问，将抛出安全异常。

对Java包做访问限制，打开$CATALINA_BASE/conf/catalina.properties文件并添加不允许访问的包至package.access列表。

分析Java import可以列出哪些应用程序需要哪些包。在Unix系统上，可以使用以下例子来实现：

grep –R import ${tomcat_home}/webapps/WEBAPP

可选

检查几个默认值以防出现潜在的漏洞。参考第9小节列出的不能更改的默认配置。

强制

如果必须要开启使用本地Tomcat系统上的网络端口关闭Tomcat的功能，必须使用难以被猜解出的强密码。

编辑CATALINA_HOME/conf/server.xml文件并设置关闭密码：

如果不需要该功能，必须要将其停用，设置如下：

本地管理脚本可将服务器关闭，即使在关闭端口被禁用的情况下。

强制

Tomcat可能自带一些默认的web应用程序。如果不是一定需要，必须将它们移除。

移除${tomcat_home}/webapps中所有的默认的web应用程序。必须要移除的应用程序有：ROOT、Documentation、Examples、Host Manager和Manager。

Manager应用程序提供管理性质的功能，比如部署应用程序和检索日志信息。这些功能应该使用本地服务器上的命令行来运行。但是，如果这个应用程序是绝对需要的，那它必须用SSL保护起来。

强制

由于默认的错误页面会泄露一些内部信息（比如版本号和堆栈轨迹），所以应该用包含一般错误信息（比如处理您的请求时出错了）的自定义错误页面取而代之。

每个web应用程序的web.xml文件里应包含以下配置，该文件位于CATALINA_HOME/webapps/$WEB_APP/WEB-INF：

500

/errorpages/error.html

java.lang.Throwable /errorpages/error.html

此外，如果Manager应用程序没被移除，必须手动将位于CATALINA_HOME/webapps/manager/WEB-INF/jsp/的错误页面里的“Tomcat   7“版本信息移除。

可选

Tomcat允许在Tomcat运行时自动部署应用程序。这个功能必须被禁用，因为它可能允许部署恶意或未经测试的应用程序。

自动部署由autoDeploy和deployOnStartup属性控制。如果两者是false，只有在server.xml中定义的Context将被部署，并且任何更改都需要重启Tomcat。要禁用自动部署，请在$CATALINA_HOME/conf/server.xml文件中做以下配置：

autoDeploy=”false”

deployOnStartup=”false”

在托管环境中Web应用程序可能不受信任，也可以设置deployXML属性为false来忽略context.xml，以防给该web应用程序提高权限。

强制