分享两个运维工作中遇到的tomcat等保测

1、Apache Tomcat服务版本升级版本补丁，修复漏洞

1.1、案例背景

tomcat存在权限许可和访问控制漏洞，攻击者可以通过FileStore Sessions绕过Apache Tomcat的限制，目前厂商已发布补丁修复漏洞，需要将tomcat从8.5.72升级到8.5.75（小版本更新）

1.2、处理思路

1.3、处理过程

1、进入到tomcat服务的bin目录，执行./version.sh命令查看当前tomcat服务的版本

2、登录到tomcat的官方网站：https://tomcat.apache.org/，找到对应的版本，选择

下载

下载windows版本

3、解压压缩包，进入到tomcat目录，找到lib目录，并且压缩成zip包

4、将压缩好的文件通过rz或是共享的方式上传到服务器的/tmp目录

5、解压该文件

unzip lib.zip

6、本次操作是小版本更新，从8.5.72升级到8.5.75，所以只需要替换lib目录即可。进入到tomcat的目录，备份需要操作的tomcat服务的lib目录（注意：备份目录一般是位于/backup目录下），查看是否备份成功

7、备份成功后，进入到bin目录，执行./shutdown.sh命令停止tomcat服务

8、删除原先tomcat服务的lib目录，将/tmp/lib移动到tomcat的目录下，查看修改时间是否为最新

9、进入到bin目录，执行./startup.sh命令启动tomcat服务

10、进入到bin目录，执行./version.sh命令查看tomcat的版本，查看是否升级为我们需要的版本

1.4、案例总结

升级tomcat的小版本时，只需将原先tomcat下的lib目录替换成需要升级的lib目录

2、Apache Tomcat默认文件、错误页面漏洞修复

2.1、案例背景

Tomcat服务的默认错误页面、默认索引页面、示例 JSP 和/或示例 servlet ，这些文件存在漏洞，可能有助于攻击者发现有关远程Tomcat安装或主机本身的信息

2.2、处理思路

1、删除webapps下的docs、examples目录

2、清空ROOT目录下的所有文件

3、自定义错误文件

2.3、处理过程

1、删除webapps下的docs、example目录

rm -rf docs

rm -rf example

2、清空ROOT目录下的所有文件

3、自定义错误文件

vim /usr/local/tomcat/apache-tomcat-8.5.64/webapps/ROOT/error.html

<!DOCTYPE html>

<html xmlns="http://www.w3.org/1999/xhtml"><head>

<title>网页访问不了</title>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<link rel="stylesheet" type="text/css" href="404/error_all.css?t=201303212934">

</head>

<body class="error-404">

<p>404</p>

</body>

</html>

4、浏览器验证，没有tomcat的任何相关信息

2.4、案例总结

Tomcat服务的默认错误页面、默认索引页面、示例 JSP 和/或示例 servlet ，这些文件存在漏洞，可能有助于攻击者发现有关远程Tomcat安装或主机本身的信息，我们需要将这些信息全部删除或者是隐藏，解决漏洞

2.5、案例拓展

问题1：如果把webapps下的所有目录和文件都删除，能不能修复这个漏洞？

答：不能，因为删除之后，虽然访问一样是上报404，但是会有tomcat的版本号存在

（1）、默认错误页面：有tomcat的版本号

（2）、自定义错误页面：没有任何信息