亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        圖書館數(shù)字資源web服務(wù)之Tomcat的安全防范

        2018-06-07 19:51:56譚子貴
        教育界·下旬 2018年3期
        關(guān)鍵詞:圖書館

        譚子貴

        【摘要】普通院校圖書館數(shù)字資源本地鏡像并發(fā)訪問量較低,所以多數(shù)使用Tomcat來承擔(dān)應(yīng)用服務(wù)器。人才和技術(shù)的限制,會(huì)間接導(dǎo)致其成為學(xué)校網(wǎng)絡(luò)安全問題的一個(gè)入口。因此,文章主要從安全配置入手,分析了Tomcat初始化安裝前后需要注意的一些安全細(xì)節(jié),并且羅列了2017年爆發(fā)的一些漏洞和相關(guān)解決方式。

        【關(guān)鍵詞】Tomcat;圖書館;數(shù)字資源;服務(wù)器;web服務(wù)

        一、引言

        通過業(yè)務(wù)交流得知,受人才和技術(shù)的限制,多數(shù)普通院校圖書館數(shù)字資源本地鏡像的部署,一般交由第三方數(shù)字資源商輔助安裝和維護(hù)。然而筆者在對服務(wù)器管理的日常工作過程中,發(fā)現(xiàn)部分?jǐn)?shù)據(jù)商所部署的Tomcat應(yīng)用服務(wù)器經(jīng)常會(huì)忽略一些安全配置細(xì)節(jié),非常容易導(dǎo)致服務(wù)器受到來源于內(nèi)網(wǎng)的攻擊,或者成為外網(wǎng)的跳板,蔓延攻擊內(nèi)網(wǎng)中的其他服務(wù)器和網(wǎng)絡(luò)設(shè)備,這將間接對整個(gè)校園網(wǎng)絡(luò)和自身數(shù)據(jù)的安全造成不可忽略的影響。所以本文主要通過Tomcat應(yīng)用服務(wù)器在安全配置上的一些小細(xì)節(jié)以及近年來的一些安全漏洞問題,探討圖書館數(shù)字資源web應(yīng)用服務(wù)器Tomcat的安全防范。

        二、Tomcat安全配置應(yīng)注意的一些事項(xiàng)

        端口掃描是黑客入侵最直接、最簡便的方式。因?yàn)門omcat在Linux操作系統(tǒng)下1024以內(nèi)的端口非root用戶無法使用,而Tomcat提供的是HTTP服務(wù),需要一個(gè)與80有關(guān)的端口,所以Tomcat的默認(rèn)配置是選擇8080端口對外提供web服務(wù),同時(shí)還會(huì)占用8005、8009和8443端口。黑客可以利用專門的自動(dòng)掃描工具,例如Apache_Tomcat_Crack等,掃描出端口開啟并且防火墻開放的主機(jī),獲取服務(wù)器的IP地址,并且還可以通過掃描工具對admin賬戶預(yù)設(shè)密碼,破獲弱口令,再經(jīng)由默認(rèn)后臺地址登錄,認(rèn)證成功后,將可以看到站點(diǎn)的相關(guān)目錄等信息。而后臺管理所提供的開啟、停止、重啟、卸除等功能,被黑客利用,會(huì)直接對我們的服務(wù)和數(shù)據(jù)造成一定的影響。更為嚴(yán)重的是,黑客會(huì)利用上傳功能,通過WAR file to deploy模塊,將Webshell打包成war文件上傳到web站點(diǎn)并運(yùn)行,從而進(jìn)一步利用Webshell上傳其他黑客輔助工具,開啟服務(wù)器的遠(yuǎn)程桌面等。針對以上威脅,在做安全配置時(shí),筆者總結(jié)出了以下值得注意的細(xì)節(jié)。

        (一)安全合理的初始化配置

        普通院校圖書館用于發(fā)布數(shù)字資源的服務(wù)器,經(jīng)常以單臺對外服務(wù)多個(gè)系統(tǒng)項(xiàng)目,而且是通過Tomcat的虛擬機(jī)一起使用同一個(gè)實(shí)例來實(shí)現(xiàn)的。Tomcat虛擬主機(jī)配置的靈活性可以為部署web帶來很多便利,但筆者不建議使用,避免任何一個(gè)虛擬機(jī)中的應(yīng)用程序因共享內(nèi)存關(guān)系而可能相互影響。因此,最好以本館的需求來權(quán)衡服務(wù)器的開銷與應(yīng)用程序的安全之間的輕重。選擇Tomcat的安裝版本也很重要,可以避免安裝一些已經(jīng)公布的漏洞補(bǔ)丁升級,首先選出適合本館需求的大版本,在當(dāng)前的大版本中選擇較新的版本而不是最新的版本。

        首次安裝完成后立即刪除webapps下面的所有代碼,注釋或刪除tomcat-users.xml文件里面的所有用戶權(quán)限。圖書館數(shù)字資源的安裝與維護(hù)一般由第三方商家來負(fù)責(zé),極少用到Tomcat提供的默認(rèn)管理頁面,因此我們應(yīng)該要求安裝人員在進(jìn)行初始化配置的時(shí)候,注意把webapps目錄下的文件全部刪除,同時(shí)也將conf/Catalina/localhost目錄下的host-manager.xml和manager.xml兩個(gè)配置文件刪除。在lib目錄下名稱為catalina.jar的包中,有一個(gè)ServerInfo.properties文件,為了避免黑客針對某些版本攻擊,我們可以通過修改該文件中的serverinfo字段來更改當(dāng)前的版本信息。

        (二)端口與用戶設(shè)置

        安裝人員要注意在啟動(dòng)Tomcat之前,對安裝目錄下的所有文件設(shè)置指定用戶,限制訪問權(quán)限,不要使用root用戶來啟動(dòng)Tomcat,避免權(quán)限的繼承。圖書館技術(shù)管理員,可以通過修改置文件tomcat-users.xml,為管理用戶設(shè)置更加復(fù)雜的密碼。在對tomcat-users.xml文件操作前,一定要保證Tomcat處于關(guān)閉狀態(tài),設(shè)置好后再打開。管理員可以在conf目錄下找到server.xml文件,修改初始安裝默認(rèn)占用的幾個(gè)端口號。

        (三)應(yīng)用程序的安全防范

        在默認(rèn)的情況下,Tomcat開啟了對war包的自動(dòng)部署,為了防止惡意上傳的war自動(dòng)部署和繼承權(quán)限,可以將相應(yīng)的實(shí)例修改為:,注意應(yīng)用程序部署與Tomcat的啟動(dòng),不能使用同一個(gè)用戶。

        (四)禁止顯示文件目錄和列表

        當(dāng)用戶請求的文件夾不存在的時(shí)候,返回來的提示頁面會(huì)顯示相關(guān)的目錄列表信息,對于此項(xiàng)信息的裸露,同樣是一個(gè)較大的隱患入口。因此我們要確認(rèn)在Tomcat的設(shè)置中禁止目錄等信息,可以通過修改Tomcat/conf目錄下的web.xml文件,將原本true實(shí)例中的“true”修改為“false”重啟后即可生效。我們還可對web.xml進(jìn)行一些優(yōu)化,例如增加監(jiān)聽器,增加過濾器,更改應(yīng)用的默認(rèn)網(wǎng)頁等。

        三、2017年爆發(fā)的部分漏洞以及防范方式

        (一)高危漏洞

        1.CVE-2017-12615:遠(yuǎn)程代碼執(zhí)行漏洞。影響范圍:Apache Tomcat 7.0.0-7.0.80。當(dāng)Tomcat運(yùn)行在Windows主機(jī)上,且啟用了HTTP PUT請求方法(例如,將readonly初始化參數(shù)由默認(rèn)值設(shè)置為false),攻擊者將有可能通過精心構(gòu)造的攻擊請求向服務(wù)器上傳包含任意代碼的JSP文件。之后,JSP文件中的代碼將能被服務(wù)器執(zhí)行。Tomcat 7.x版本內(nèi)web.xml配置文件內(nèi)默認(rèn)配置無readonly參數(shù),需要手工添加,默認(rèn)配置條件下不受此漏洞影響。

        漏洞臨時(shí)修復(fù)方式:根據(jù)業(yè)務(wù)評估配置readonly值為True或注釋參數(shù),禁用PUT方法并重啟Tomcat,臨時(shí)規(guī)避安全風(fēng)險(xiǎn),但對于依賴PUT方法的應(yīng)用,可能導(dǎo)致相關(guān)業(yè)務(wù)失效,官方已經(jīng)發(fā)布Apache Tomcat 7.0.81版本修復(fù)了兩個(gè)漏洞,最終解決方式是盡快升級到相應(yīng)版本。

        2.CVE-2017-12616:信息泄露漏洞。影響范圍:Apache Tomcat 7.0.0-7.0.79。當(dāng)Tomcat中使用了VirtualDirContext時(shí),攻擊者將能通過發(fā)送精心構(gòu)造的惡意請求,繞過設(shè)置的相關(guān)安全限制,或是獲取到由VirtualDirContext提供支持資源的JSP源代碼。Tomcat 7.x版本內(nèi)默認(rèn)配置無VirtualDirContext參數(shù),需要手工添加,默認(rèn)配置條件下不受此漏洞影響。

        漏洞臨時(shí)修復(fù)方式:根據(jù)業(yè)務(wù)評估配置VirtualDirContext值為True或注釋參數(shù),禁用PUT方法并重啟Tomcat,臨時(shí)規(guī)避安全風(fēng)險(xiǎn),但對于依賴PUT方法的應(yīng)用,可能導(dǎo)致相關(guān)業(yè)務(wù)失效,官方已經(jīng)發(fā)布Apache Tomcat 7.0.81版本修復(fù)了兩個(gè)漏洞,最終解決方式是盡快升級到相應(yīng)版本。

        3.CVE-2017-5664:安全限制繞過漏洞。影響范圍:Apache Tomcat(9.0.0.M1-9.0.0.M20,8.5.0-8.5.14,8.0.0.RC1-8.0.43,7.0.0-7.0.77)。攻擊者可以利用該漏洞構(gòu)造惡意請求會(huì)導(dǎo)致文件刪除,比如若DefaultServlet配置為允許寫,對于靜態(tài)錯(cuò)誤頁面,可能會(huì)替換或刪除自定義錯(cuò)誤頁面等,解決方式是升級到官方公布的相應(yīng)版本。

        (二)低危漏洞

        相對低危的漏洞,官方已經(jīng)全部發(fā)布相應(yīng)的補(bǔ)丁升級,用戶可以通過官網(wǎng)進(jìn)行下載更新。進(jìn)行更新前需要對server.xml、catalina.sh、web.xml和tomcat-users.xml文件進(jìn)行備份處理,待部署完新版本之后用其覆蓋新的文件。

        1.CVE-2017-5650:拒絕服務(wù)漏洞。Apache Tomcat(9.0.0.M1-9.0.0.M18,8.5.0-8.5.12)版本在處理大量HTTP/2請求時(shí)存在安全漏洞,可使攻擊者執(zhí)行拒絕服務(wù)攻擊。

        2.CVE-2017-7674:緩存投毒漏洞。Apache Tomcat 9.0.0.M1-9.0.0.M21版本,在CORS過濾器實(shí)現(xiàn)中,未添加HTTP Vary標(biāo)頭,表明響應(yīng)根據(jù)來源變化,在實(shí)現(xiàn)上存在安全漏洞,可導(dǎo)致客戶端及服務(wù)器端緩存中毒。

        3.CVE-2017-7675:目錄遍歷漏洞。Apache Tomcat 9.0.0.M1-9.0.0.M21、Apache Tomcat 8.5.0-8.5.15版本,在HTTP2實(shí)現(xiàn)中存在安全限制繞過漏洞,可使攻擊者通過構(gòu)造的URL,利用此漏洞,繞過安全限制。

        四、結(jié)語

        數(shù)字資源無論是商業(yè)化或非商業(yè)化、機(jī)構(gòu)或個(gè)人自建、網(wǎng)絡(luò)索引等,同印刷型文獻(xiàn)相比,其類型都更為豐富,存取和利用都更加便捷,成為現(xiàn)代圖書館館藏資源建設(shè)中的重要組成部分。而高校圖書館數(shù)字資源一般通過web服務(wù)來為用戶提供數(shù)據(jù)之間的交換。Tomcat是一個(gè)免費(fèi)的開源輕量級應(yīng)用服務(wù)器,其技術(shù)和性能目前均受到使用者和開發(fā)者的普遍認(rèn)可,但由其帶來的網(wǎng)絡(luò)安全問題不可忽視。因筆者知識有限,在進(jìn)行安全配置和漏洞分析時(shí)難免有錯(cuò)漏現(xiàn)象,希望可以得到指正。

        【參考文獻(xiàn)】

        [1]怯肇乾.Tomcat應(yīng)用服務(wù)器高并發(fā)優(yōu)化處理[J].電腦編程技巧與維護(hù),2018(02):131-138.

        [2]余煬,曲毅,孫亦樂.基于Apache Tomcat的一站式Java應(yīng)用服務(wù)器解決方案[J].中國金融電腦,2018(01):59-63.

        [3]梁龍.基于Tomcat的改造實(shí)現(xiàn)關(guān)閉上傳war包功能[J].信息技術(shù)與信息化,2016(06):51-52,58.

        [4]馬旭.探究Tomcat虛擬路徑功能應(yīng)用[J].中國新通信,2016,18(02):67.

        [5]王雪.基于Linux架構(gòu)的Tomcat的安裝部署[J].信息與電腦(理論版),2015(20):26-27.

        [6]吳小青.JSP+TOMCAT+MYSQL開源軟件整合配置初探——以揭陽職業(yè)技術(shù)學(xué)院圖書館網(wǎng)站服務(wù)器配置為例[J].齊齊哈爾大學(xué)學(xué)報(bào)(自然科學(xué)版),2012,28(04):66-69.

        猜你喜歡
        圖書館
        去圖書館坐坐
        圖書館
        圖書館里送流年
        圖書館
        文苑(2019年20期)2019-11-16 08:52:12
        夜間的圖書館
        幽默大師(2019年5期)2019-05-14 05:39:38
        圖書館里的小驚喜
        圖書館 Library
        幼兒畫刊(2018年11期)2018-12-03 05:11:44
        時(shí)間重疊的圖書館
        文苑(2018年17期)2018-11-09 01:29:40
        圖書館
        飛躍圖書館
        人妻精品动漫h无码网站| 亚洲精品一区二区网站| 亚洲男人天堂黄色av| 亚洲人精品亚洲人成在线| 日韩毛片基地一区二区三区| 亚洲AV小说在线观看| 一区二区三区四区黄色av网站| 麻豆网神马久久人鬼片| 内射中出无码护士在线| 国产尤物二区三区在线观看| 亚洲精品天堂日本亚洲精品| 成年美女黄的视频网站| 欧美性性性性性色大片免费的| 无码超乳爆乳中文字幕| 少妇人妻无一区二区三区| 亚洲av无码国产精品色午夜字幕| 最近免费中文字幕| 丰满少妇棚拍无码视频| 国产高清一区二区三区三州| 亚洲国产成人精品无码区在线秒播| 国产精品 高清 尿 小便 嘘嘘| 国产91AV免费播放| 日本一区二区三区光视频| 成人午夜视频精品一区| 91精品视品在线播放| 亚洲国产免费一区二区| 久久精品免费一区二区喷潮| 97久久香蕉国产线看观看| 亚洲Va中文字幕无码毛片下载| 久久99精品久久只有精品| 狠狠人妻久久久久久综合蜜桃| 四虎永久免费一级毛片| 日韩av在线不卡一二三区| 人妻少妇精品中文字幕专区| 国产精品嫩草影院av| 99久久亚洲国产高清观看| 亚洲精品中文字幕一二三四 | 帮老师解开蕾丝奶罩吸乳视频 | 日韩美女亚洲性一区二区| 色偷偷噜噜噜亚洲男人| 国内成人精品亚洲日本语音|