目录

前言   

      本文主要为centos的系统安全 

  常规基础操作

  服务器使用密钥对登陆，相对密码登录更加安全

配置ECS自动快照策略

linux系统登陆弱口令检查-------系统登陆弱口令

重要软件OPENSSH漏洞，用于SSH连接服务器的

​ 基线保障(即系统安全配置)

 本文主要为centos的系统安全

1.确保root是唯一的UID为0的帐户(高危)

2.开启地址空间布局随机化 | 入侵防范(高危)

3.设置用户权限配置文件的权限 | 文件权限(高危)

4.访问控制配置文件的权限设置 | 文件权限（高危）

5.确保SSH LogLevel设置为INFO | 服务配置(高危)

6.设置登陆密码失效时间(如果使用密码登陆的话，酌情设置)

7.设置密码修改最小间隔时间(高危)

8.设置SSH空闲超时退出时间(高危)

9.密码复杂度检查(高危)

10.检查密码重用是否受限制(高危)

11.检查系统空密码账户(高危)

12.禁止SSH空密码用户登录 (高危)

13.确保密码到期警告天数为7或更多(高危)

14.确保SSH MaxAuthTries设置为3到6之间(高危)

---

前言   

      本文你千载难逢，因为这些东西是需要花钱的，真真实实需要在服务器上操作的，最实用的东西，绝对值得一学，每一个都是可以实战的，非常实用，怎么让你的服务器更安全？怎么避免攻击？这你不想学吗？这么实用的东西，确定不学？

       如果是让你做一个网站，或者写功能性代码，那么不管你写的多好多坏，哪怕你的代码不够优雅，但总而言之，言而总之，基础的功能实现还是没问题的，总是可以跑起来的，哪怕它跑的方式不够优雅，总之，在经过千难万难之后，你的代码大多数时候还是能跑起来的，但是，问题的关键来了，你的代码总是要上服务器的，而服务器我们一般用linux系统，那么我们的服务器配置安全吗？服务器怎么避免被攻击？就算你代码写的再好，安全到一点漏洞都没有，服务器被攻陷了，那代码不就全部都暴露了吗？

       所以服务器的安全至关重要，但又刚好是大家的弱项。

      为避免文章过长，同时查找起来也方便些，本系列共分为4篇，分别讲述centos系统安全，mysql数据库安全、apache应用服务器安全、tomcat安全，这是最常用的几个了。

       第一篇：服务器自身安全基线(即本文)

跟我学，你的服务器够安全吗？_zhumengyisheng的博客-CSDN博客这是一篇非常值得收藏的文章，你的服务器会天天被黑客攻击吧？那怎么防的住呢？怎能才能让服务器更安全呢？跟着我做吧！https://blog.csdn.net/zhumengyisheng/article/details/121865391     第二篇：数据库安全基线(主要使用mysql数据库)

跟我学，你的服务器够安全吗？_zhumengyisheng的博客-CSDN博客这是一篇非常值得收藏的文章，你的服务器会天天被黑客攻击吧？那怎么防的住呢？怎能才能让服务器更安全呢？跟着我做吧！https://blog.csdn.net/zhumengyisheng/article/details/121865391    第三篇：apache服务安全

跟我学，你的服务器够安全吗？第三篇--apache安全_zhumengyisheng的博客-CSDN博客你的服务器是否安全？本文为apache基线安全检擦https://blog.csdn.net/zhumengyisheng/article/details/121866723    第四篇：tomcat服务安全

跟我学，你的服务器够安全吗？第四篇----tomcat安全基线检查_zhumengyisheng的博客-CSDN博客本文为tomcat相关基线检查和漏洞修复https://blog.csdn.net/zhumengyisheng/article/details/121866907

     本文将详细讲解服务器安全方面的问题，如果你用的是阿里云的服务器，那么阿里云有专门的安全中心可以提供检测，这是收费服务，如果你不是阿里云服务器，那么照着做，学习人家的配置自己的，让自己的服务器更安全。但是我推荐你最好用阿里云服务器，因为这些东西你修改后它会验证检测，同时告诉你是否还有什么问题，确保你的服务器各项配置安全准确。

       所以，如果你重视安全问题，害怕被攻击，那么本文不可多得，跟着做吧，但是最好还是买个阿里云服务器，它上面会指导你一项一项的做，最终防护好服务器安全。

     需要阿里云的话可以先领个红包，便宜些，腾讯云的话便宜的话也可以买，但是阿里云的安全服务很好，但是也是得花钱买才行，我觉得就是正式服务器买个阿里云的，测试机什么的腾讯云如果便宜的多的话也可以买腾讯云，省钱嘛。

       阿里云限量红包，速领。

阿里云限量红包https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=v6vhcyn8     腾讯云新用户专享

腾讯云优惠券_代金券_云服务器折扣券-腾讯云腾讯云优惠券,腾讯云代金券,腾讯云服务器折扣券https://cloud.tencent.com/act/vouchers/list?fromSource=gwzcw.2477393.2477393.2477393&utm_medium=cpc&utm_id=gwzcw.2477393.2477393.2477393&cps_key=b0c7af9380d6324294316347ba2c8a49    阿里云最新活动 

最新活动_阿里云https://www.aliyun.com/activity?userCode=v6vhcyn8     阿里云腾讯云所有优惠汇总

浅谈VPS云服务器(内含神秘大额专属特惠)_zhumengyisheng的博客-CSDN博客怎么做一个网站？都需要什么？要个服务器？要个域名？去哪里买？哪个好啊？有优惠吗？所有的优惠都在这里了，给自己建个网站吧，毕竟要学以致用啊！https://blog.csdn.net/zhumengyisheng/article/details/121391896       好了，下面的资料都来自于这个云安全，是一些相关的建议，你可以根据这些建议，即使你不是用的阿里云，你也可以根据这些建议，加固你的服务器，确保你的服务器更加的安全，避免黑客攻击。

      本文主要为centos的系统安全 

  常规基础操作

  服务器使用密钥对登陆，相对密码登录更加安全

配置ECS自动快照策略

      建议配置策略为周一、周二、周三到周末，这样的话自动快照循环保留近7天的，每次都是7天的快照，同时可以设置某个时间的永久快照保留备份，确保你的服务器安全

linux系统登陆弱口令检查-------系统登陆弱口令

3.linux系统登陆弱口令检查-------系统登陆弱口令
描述

若系统使用弱口令，存在极大的被恶意猜解入侵风险，需立即修复。

检查提示

--

加固建议

执行命令passwd [<user>]，然后根据提示输入新口令完成修改，其中<user>为用户名，如果不输入则修改的是当前用户的口令。口令应符合复杂性要求：

操作时建议做好记录或备份

重要软件OPENSSH漏洞，用于SSH连接服务器的

解决方案为升级openssh到最新版，至少8.8以上即可解决，但升级这个操作相对危险，一定要注意备份或者测试好之后再进行。

 基线保障(即系统安全配置)

 本文主要为centos的系统安全

1.确保root是唯一的UID为0的帐户(高危)

确保root是唯一的UID为0的帐户身份鉴别

描述

除root以外其他UID为0的用户都应该删除，或者为其分配新的UID

检查提示

--

加固建议

除root以外其他UID为0的用户(查看命令cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$' )都应该删除，或者为其分配新的UID

操作时建议做好记录或备份

2.开启地址空间布局随机化 | 入侵防范(高危)

开启地址空间布局随机化入侵防范

描述

它将进程的内存空间地址随机化来增大入侵者预测目的地址难度，从而降低进程被成功入侵的风险

加固建议

在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数： kernel.randomize_va_space = 2 执行命令： sysctl -w kernel.randomize_va_space=2

操作时建议做好记录或备份

3.设置用户权限配置文件的权限 | 文件权限(高危)

设置用户权限配置文件的权限文件权限

描述

设置用户权限配置文件的权限

检查提示

--

加固建议

执行以下5条命令

chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group  
chmod 0644 /etc/passwd  
chmod 0400 /etc/shadow  
chmod 0400 /etc/gshadow  

操作时建议做好记录或备份

4.访问控制配置文件的权限设置 | 文件权限（高危）

访问控制配置文件的权限设置文件权限

描述

访问控制配置文件的权限设置

检查提示

--

加固建议

运行以下4条命令：

chown root:root /etc/hosts.allow 
chown root:root /etc/hosts.deny 
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow

操作时建议做好记录或备份

5.确保SSH LogLevel设置为INFO | 服务配置(高危)

确保SSH LogLevel设置为INFO服务配置

描述

确保SSH LogLevel设置为INFO,记录登录和注销活动

检查提示

--

加固建议

编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):

LogLevel INFO

操作时建议做好记录或备份

6.设置登陆密码失效时间(如果使用密码登陆的话，酌情设置)

设置密码失效时间身份鉴别

描述

设置密码失效时间，强制定期修改密码，减少密码被泄漏和猜测风险，使用非密码登陆方式(如密钥对)请忽略此项。

检查提示

7.设置密码修改最小间隔时间(高危)

设置密码修改最小间隔时间身份鉴别

描述

设置密码修改最小间隔时间，限制密码更改过于频繁

检查提示

--

加固建议

在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7：

PASS_MIN_DAYS 7

需同时执行命令为root用户设置：

chage --mindays 7 root

操作时建议做好记录或备份

8.设置SSH空闲超时退出时间(高危)

设置SSH空闲超时退出时间服务配置

描述

设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险

检查提示

--

加固建议

编辑/etc/ssh/sshd_config，将ClientAliveInterval 设置为300到900，即5-15分钟，将ClientAliveCountMax设置为0-3之间。

ClientAliveInterval 600
ClientAliveCountMax 2

操作时建议做好记录或备份

9.密码复杂度检查(高危)

密码复杂度检查身份鉴别

描述

检查密码长度和密码是否使用多种字符类型

检查提示

--

加固建议

编辑/etc/security/pwquality.conf，把minlen（密码最小长度）设置为8-32位，把minclass（至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类）设置为3或4。如：

minlen=10
minclass=3

操作时建议做好记录或备份

10.检查密码重用是否受限制(高危)

检查密码重用是否受限制身份鉴别

描述

强制用户不重用最近使用的密码，降低密码猜测攻击风险

检查提示

--

加固建议

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间，原来的内容不用更改，只在末尾加了remember=5。

操作时建议做好记录或备份

11.检查系统空密码账户(高危)

检查系统空密码账户身份鉴别

描述

检查系统空密码账户

检查提示

--

加固建议

为用户设置一个非空密码，或者执行passwd -l <username>锁定用户

操作时建议做好记录或备份

12.禁止SSH空密码用户登录 (高危)

禁止SSH空密码用户登录 SSH服务配置

描述

禁止SSH空密码用户登录

检查提示

--

加固建议

编辑文件/etc/ssh/sshd_config，将PermitEmptyPasswords配置为no:

PermitEmptyPasswords no

操作时建议做好记录或备份

13.确保密码到期警告天数为7或更多(高危)

确保密码到期警告天数为7或更多身份鉴别

描述

确保密码到期警告天数为7或更多

检查提示

--

加固建议

在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间，建议为7：

PASS_WARN_AGE 7

同时执行命令使root用户设置生效：

chage --warndays 7 root

操作时建议做好记录或备份

14.确保SSH MaxAuthTries设置为3到6之间(高危)

确保SSH MaxAuthTries设置为3到6之间 SSH服务配置

描述

设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。

检查提示

--

加固建议

在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#，设置最大密码尝试失败次数3-6，建议为4：

MaxAuthTries 4

操作时建议做好记录或备份

确定

15.确保rsyslog服务已启用 (高危)

确保rsyslog服务已启用安全审计

描述

确保rsyslog服务已启用，记录日志用于审计

检查提示

--

加固建议

运行以下命令启用rsyslog服务：

systemctl enable rsyslog
systemctl start rsyslog

操作时建议做好记录或备份

16.后续待补充

  下一篇：数据库安全基线(主要使用mysql数据库)

跟我学，你的服务器够安全吗？_zhumengyisheng的博客-CSDN博客这是一篇非常值得收藏的文章，你的服务器会天天被黑客攻击吧？那怎么防的住呢？怎能才能让服务器更安全呢？跟着我做吧！https://blog.csdn.net/zhumengyisheng/article/details/121865391       如需实践，最好的选择是阿里云，买一个也不贵，实践实践，毕竟安全无小事，安全从来都是互联网企业的命脉，一旦被入侵，轻则信息泄露，重则所有服务瘫痪，所有服务器沦陷，所有服务都没了，所有信息没了，这是要出大事的。

      所以，懂安全的人的价值不言而喻，不用多说了吧？

  阿里云限量红包，速领。

阿里云限量红包https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=v6vhcyn8     腾讯云新用户专享

腾讯云优惠券_代金券_云服务器折扣券-腾讯云腾讯云优惠券,腾讯云代金券,腾讯云服务器折扣券https://cloud.tencent.com/act/vouchers/list?fromSource=gwzcw.2477393.2477393.2477393&utm_medium=cpc&utm_id=gwzcw.2477393.2477393.2477393&cps_key=b0c7af9380d6324294316347ba2c8a49    阿里云最新活动 

最新活动_阿里云https://www.aliyun.com/activity?userCode=v6vhcyn8     阿里云腾讯云所有优惠汇总

浅谈VPS云服务器(内含神秘大额专属特惠)_zhumengyisheng的博客-CSDN博客怎么做一个网站？都需要什么？要个服务器？要个域名？去哪里买？哪个好啊？有优惠吗？所有的优惠都在这里了，给自己建个网站吧，毕竟要学以致用啊！https://blog.csdn.net/zhumengyisheng/article/details/121391896    

由于服务器发挥着至关重要的作用，因此存储在服务器上的机密数据和信息非常具有价值。如今有一种流行的说法，“数据就是新的石油”。

如果不确定如何保护服务器安全，或者不确定是否已涵盖所有基础知识，那么可以了解下面提供一些可用于保护服务器的安全提示。

(1)保持软件和操作系统更新

在服务器安全方面，掌握软件和与操作系统相关的安全性修补程序至关重要。未安装修补程序的软件，经常会发生黑客攻击和入侵系统的情况。通常情况下，软件供应商会将补丁或软件更新的通知发送给客户，因此不应拖延。尽管企业可能需要测试与自己的系统环境之间的兼容性问题，但服务器软件在发布之前已经进行了广泛的测试。补丁程序管理工具、漏洞扫描工具和其他寻找安全漏洞的工具都可以提供帮助。

(2)尽可能地实现自动化和使用人工智能

人类难免犯错，大多数重大的服务器故障都是人为错误造成的。而且工作人员可能在超负荷工作，在安全方面会有一些疏漏。要执行某些功能，需要尽可能实现自动化。例如，大多数系统都支持补丁程序的自动下载和安装，并且越来越多的人工智能产品可以监视、保护和升级企业的系统。

(3)使用虚拟专用网络(VPN)

专用网络基于全球互联网协议地址空间。虚拟专用网络(VPN)是私有的专有网络，因为其互联网协议数据包无需通过公共网络进行传输。

虚拟专用网络(VPN)将允许企业在不同位置的不同计算机设备之间创建连接。它使企业可以安全地在服务器上执行操作。

企业可以与同一帐户上的其他服务器交换信息，而不会受到外界的攻击和损害。为确保服务器安全，企业应该设置虚拟专用网络。

(4)考虑零信任网络

防火墙和VPN的弱点之一是它们不能阻止内部移动。一旦黑客入侵企业的网络，几乎可以在整个网络中自由移动。这就是零信任网络的出现的原因，零信任网络不允许用户或设备访问任何内容，除非得到许可或证明。这就是所谓的“最低特权”方法，它要求对所有内容进行严格的访问控制。

(5)加密所有内容

任何数据都不应在未加密的服务器上移动。安全套接层协议(SSL)是一种安全协议，用于保护互联网上两个系统之间的通信。企业的内部系统也是如此。使用安全套接层协议(SSL)证书，只有预期的接收者才具有解密信息的密钥。

在连接到远程服务器时，使用SSH(安全外壳)对交换中传输的所有数据进行加密。使用SSH密钥进行RSA 2048位加密，对SSH服务器进行身份验证。

要在服务器之间传输文件，就需要使用安全文件传输协议(FTPS)。它可以加密数据文件和身份验证信息。

最后，要求来自防火墙外部的连接使用虚拟专用网(VPN)。虚拟专用网络(VPN)使用自己的私有网络和私有IP在服务器之间建立隔离的通信通道。

(6)不要只使用标准防火墙

防火墙是确保服务器安全的必不可少的工具，但是防火墙不仅仅是企业内部部署的防火墙，也有托管安全服务提供商(MSSP)为企业的网络提供托管防火墙服务。根据服务协议的范围，托管安全服务提供商(MSSP)可以执行防火墙安装、应用程序控制和Web内容过滤，因为它们有助于确定要阻止的应用程序和Web内容(URLS)。他们还将帮助管理补丁和更新。实际上有大量的托管安全服务提供商(MSSP可供选择。

(7)更改默认值

在大多数系统中，默认帐户是root帐户，这是黑客所针对的目标。所以需要进行更改。对于名为admin的帐户也是如此。不要在网络上使用令人关注的帐户名。

企业可以通过减少所谓的攻击向量来提高服务器安全性，这是运行所需的最低限度服务的过程。Windows和Linux的服务器版本附带许多服务，如果不需要这些服务，则应将其关闭。

Wi-Fi接入端口默认会广播其身份，如果在其范围内，则端点设备将会看到它。进入访问端口并关闭广播，因此任何想要使用它的人都必须知道访问点的真实名称。此外，企业的设备不要使用制造商的默认名称。

(8)创建多服务器或虚拟环境

隔离是企业可以拥有的最佳服务器保护类型之一，因为如果一台服务器受到威胁，黑客的攻击行为就会被锁定在该服务器上。例如，标准做法是将数据库服务器与Web应用程序服务器分开。

完全隔离将需要拥有专用的裸机服务器，这些裸机服务器不与其他服务器共享任何组件，这意味着企业需要增加更多的硬件。与其相反，实现虚拟化可以作为隔离环境。

在数据中心中具有隔离的执行环境可以实现所谓的职责分离(SoD)。职责分离(SoD)遵循“最小特权”的原则运行，这实际上意味着用户不应拥有超出其日常任务所需特权的特权。为了保护系统和数据，必须建立用户层次结构，每个用户都具有自己的用户ID和尽可能少的权限。

如果企业负担不起或不需要使用专用服务器组件进行完全隔离，则还可以选择隔离执行环境，也称之为虚拟机和容器。

(9)正确输入密码

密码始终是一个安全问题，因为很多人对密码管理有些草率。他们在多个帐户使用相同的密码，或者使用容易让人猜到的简单密码，如“password”、“abcde”或“123456”。甚至可能根本没有设置任何密码。

在设置密码时需要包含大小写字母、数字和符号的混合。并定期更改密码，另外在使用一次后禁止使用原有的密码。

(10)关闭隐藏的开放端口

网络攻击可能来自人们甚至没有意识到开放的端口。因此，不要以为知道每个端口的情况，这是不可能的事。那些并不是绝对必要的端口都应关闭。Windows Server和Linux共享一个称为netstat的通用命令，该命令可用于确定正在侦听哪些端口，同时还显示当前可能可用的连接的详细信息。

•列出所有端口的信息-“netstat -s”

•列出所有TCP端口-“netstat -at”

•列出所有UDP端口-“netstat -au”

•所有打开的侦听端口-“netstat -l”

(11)经常执行正确的备份

企业不仅需要进行定时备份，而且还应该在网络之外的异地位置进行备份。异地备份是必要的，尤其是对于勒索软件攻击来说，企业可以在其中清理受感染的驱动器。

企业还要考虑将灾难恢复即服务(DRaaS)作为即服务产品之一，该产品可通过云计算模型提供备份。它由许多内部部署供应商以及云计算服务提供商提供。

无论是自动备份作业还是人工执行，需要确保测试备份。这应该包括对管理员甚至最终用户验证数据恢复是否一致的健全检查。

(12)进行定期和频繁的安全审核

如果不进行定期审核，就无法知道可能存在的问题或如何解决这些问题，以确保企业的服务器得到完全保护。检查日志中是否有可疑或异常活动，并检查软件、操作系统和硬件固件更新，以及检查系统性能。通常情况下，黑客攻击会导致系统活动激增，硬盘驱动器或CPU或网络流量出现异常可能是黑客攻击信号。由于服务器的部署并不是一劳永逸的，必须经常对其进行检查。

目录

前言   

 1.限制服务器平台信息泄漏(高危)

2.禁止显示异常调试信息(高危)

3.AJP协议文件读取与包含严重漏洞(高危)

4.开启日志记录(高危)

5.禁止Tomcat显示目录文件列表(高危)

6.禁止自动部署(高危)

7.删除项目无关文件和目录(高危)

8.Tomcat目录权限检测(高危)

9.Tomcat进程运行权限检测(高危)

10.避免为tomcat配置manager-gui弱口令(高危)

11.AJP协议文件读取与包含严重漏洞(高危)

12.Apache Tomcat Cluster 不安全配置导致反序列化代码执行漏洞(高危)

13.Tomcat版本存在安全漏洞(高危)

---

前言   

        本文你千载难逢，因为这些东西是需要花钱的，真真实实需要在服务器上操作的，最实用的东西，汇聚着阿里云专家团的绝学和智慧，江湖最高绝学，绝对值得一学，每一个都是可以实战的，非常实用，怎么让你的服务器更安全？怎么避免攻击？这你不想学吗？这么实用的东西，确定不学？

       如果是让你做一个网站，或者写功能性代码，那么不管你写的多好多坏，哪怕你的代码不够优雅，但总而言之，言而总之，基础的功能实现还是没问题的，总是可以跑起来的，哪怕它跑的方式不够优雅，总之，在经过千难万难之后，你的代码大多数时候还是能跑起来的，但是，问题的关键来了，你的代码总是要上服务器的，而服务器我们一般用linux系统，那么我们的服务器配置安全吗？服务器怎么避免被攻击？就算你代码写的再好，安全到一点漏洞都没有，服务器被攻陷了，那代码不就全部都暴露了吗？

       所以服务器的安全至关重要，但又刚好是大家的弱项。

       为避免文章过长，同时查找起来也方便些，本系列共分为4篇，分别讲述centos系统安全，mysql数据库安全、apache应用服务器安全、tomcat安全，这是最常用的几个了。

       第一篇：服务器自身安全基线

跟我学，你的服务器安全吗？第一篇----centos系统安全篇_zhumengyisheng的博客-CSDN博客你的服务器够安全吗？是否经常被黑客攻击？网站怎么又被黑了？这可怎么搞啊？本文主要为服务器的自身安全问题，主要为linux的系统安全问题，本文使用的是centos系统https://blog.csdn.net/zhumengyisheng/article/details/121866485     第二篇：数据库安全基线(主要使用mysql数据库)

跟我学，你的服务器安全吗？第二篇----数据库mysql安全篇_zhumengyisheng的博客-CSDN博客这是一篇非常值得收藏的文章，你的服务器会天天被黑客攻击吧？数据库又瘫痪了，数据库又被黑客入侵了，数据库怎么这么多事？怎么让数据库能安全些呢？急需指导，在线等，挺急的，再晚一会，老板都要破产了......https://blog.csdn.net/zhumengyisheng/article/details/121865391     第三篇：apache服务安全(跑网站的基础服务之一，主要应用于PHP)

https://blog.csdn.net/zhumengyisheng/article/details/121866723https://blog.csdn.net/zhumengyisheng/article/details/121866723    第四篇：tomcat服务安全(java多用，跑java的，本节就讲它)

跟我学，你的服务器够安全吗？第四篇----tomcat安全基线检查_zhumengyisheng的博客-CSDN博客本文为tomcat相关基线检查和漏洞修复https://blog.csdn.net/zhumengyisheng/article/details/121866907

       本文将详细讲解服务器安全方面的问题，如果你用的是阿里云的服务器，那么阿里云有专门的安全中心可以提供检测，这是收费服务，如果你不是阿里云服务器，那么照着做，学习人家的配置自己的，让自己的服务器更安全。但是我推荐你最好用阿里云服务器，因为这些东西你修改后它会验证检测，同时告诉你是否还有什么问题，确保你的服务器各项配置安全准确。

       所以，如果你重视安全问题，害怕被攻击，那么本文不可多得，跟着做吧，但是最好还是买个阿里云服务器，它上面会指导你一项一项的做，最终防护好服务器安全。

     需要阿里云的话可以先领个红包，便宜些，腾讯云的话便宜的话也可以买，但是阿里云的安全服务很好，但是也是得花钱买才行，我觉得就是正式服务器买个阿里云的，测试机什么的腾讯云如果便宜的多的话也可以买腾讯云，省钱嘛。

       阿里云限量红包，速领。
阿里云限量红包https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=v6vhcyn8       腾讯云新用户专享

腾讯云优惠券_代金券_云服务器折扣券-腾讯云腾讯云优惠券,腾讯云代金券,腾讯云服务器折扣券https://cloud.tencent.com/act/vouchers/list?fromSource=gwzcw.2477393.2477393.2477393&utm_medium=cpc&utm_id=gwzcw.2477393.2477393.2477393&cps_key=b0c7af9380d6324294316347ba2c8a49      阿里云最新活动 

最新活动_阿里云最新活动，阿里云最全的优惠聚集地https://www.aliyun.com/activity?userCode=v6vhcyn8       阿里云腾讯云所有优惠汇总

浅谈VPS云服务器(内含神秘大额专属特惠)_zhumengyisheng的博客-CSDN博客怎么做一个网站？都需要什么？要个服务器？要个域名？去哪里买？哪个好啊？有优惠吗？所有的优惠都在这里了，给自己建个网站吧，毕竟要学以致用啊！https://blog.csdn.net/zhumengyisheng/article/details/121391896     下面的资料都来自于阿里云安全，是一些相关的建议，你可以根据这些建议，即使你不是用的阿里云，你也可以根据这些建议，加固你的服务器，确保你的服务器更加的安全，避免黑客攻击。

Tomcat是一个应用服务器。他可以运行你按照J2EE中的Servlet规范编写好的Java程序。
简单的说它是一个Web网站的运行容器，把你写好的网站放进去就可以运行。

本文主要讲述tomcat安全基线检查，适用于安装了tomcat服务的检查。

 1.限制服务器平台信息泄漏(高危)

限制服务器平台信息泄漏服务配置

描述

限制服务器平台信息泄漏会使攻击者更难确定哪些漏洞会影响服务器平台。

检查提示

--

加固建议

1、进入Tomcat安装主目录的lib目录下，比如 cd /usr/local/tomcat7/lib 2、执行：jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties，修改文件ServerInfo.properties中的server.info和server.number的值，如分别改为：Apache/11.0.92、11.0.92.0 3、执行：jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties 4、重启Tomcat服务

操作时建议做好记录或备份

确定

2.禁止显示异常调试信息(高危)

禁止显示异常调试信息服务配置

描述

当请求处理期间发生运行时错误时，ApacheTomcat将向请求者显示调试信息。建议不要向请求者提供此类调试信息。

检查提示

--

加固建议

在Tomcat根目录下的conf/web.xml文件里面的web-app添加子节点：<error-page><exception-type>java.lang.Throwable</exception-type><location>/error.jsp</location></error-page>，在webapps目录下创建error.jsp，定义自定义错误信息

操作时建议做好记录或备份

3.AJP协议文件读取与包含严重漏洞(高危)

AJP协议文件读取与包含严重漏洞入侵防范

描述

Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。该漏洞是由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能，攻击者可进一步实现远程代码执行。漏洞影响非常严重，请及时采取防护措施修复。

检查提示

--

加固建议

1. 升级到以下安全版本进行防护

<table> <thead> <tr> <td style="width: 100px;">版本号</td> <td style="width: 250px;">下载地址</td> </tr> </thead> <tbody> <tr> <td >Apache Tomcat 7.0.100</td> <td>http://tomcat.apache.org/download-70.cgi</td> </tr> <tr> <td >Apache Tomcat 8.5.51</td> <td>http://tomcat.apache.org/download-80.cgi</td> </tr> <tr> <td >Apache Tomcat 9.0.31</td> <td>http://tomcat.apache.org/download-90.cgi</td> </tr> </tbody> </table>

2. 若不需使用AJP协议，可直接关闭AJP Connector，或将监听地址改为仅监听本机localhost 编辑配置文件server.xml，将AJP协议的Connector注释掉或删除，并重启服务。

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

参考链接： https://www.cnvd.org.cn/webinfo/show/5415

操作时建议做好记录或备份

4.开启日志记录(高危)

开启日志记录安全审计

描述

Tomcat需要保存输出日志，以便于排除错误和发生安全事件时，进行分析和定位

检查提示

--

加固建议

1、修改Tomcat根目录下的conf/server.xml文件。
2、取消Host节点下Valve节点的注释(如没有则添加)。
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log" suffix=".txt" pattern="%h %l %u %t &quot;%r&quot; %s %b" /> 3、重新启动Tomcat

操作时建议做好记录或备份

5.禁止Tomcat显示目录文件列表(高危)

禁止Tomcat显示目录文件列表服务配置

描述

Tomcat允许显示目录文件列表会引发目录遍历漏洞

检查提示

--

加固建议

修改Tomcat 跟目录下的配置文件conf/web.xml，将listings的值设置为false。 <param-name>listings</param-name> <param-value>false</param-value>

操作时建议做好记录或备份

确定

6.禁止自动部署(高危)

禁止自动部署服务配置

描述

配置自动部署，容易被部署恶意或未经测试的应用程序，应将其禁用

检查提示

--

加固建议

修改Tomcat 根目录下的配置文件conf/server.xml，将host节点的autoDeploy属性设置为“false”，如果host的deployOnStartup属性(如没有deployOnStartup配置可以忽略)为“true”，则也将其更改为“false”

操作时建议做好记录或备份

确定

7.删除项目无关文件和目录(高危)

删除项目无关文件和目录访问控制

描述

Tomcat安装提供了示例应用程序、文档和其他可能不用于生产程序及目录，存在极大安全风险，建议移除

检查提示

--

加固建议

请删除Tomcat示例程序和目录、管理控制台等，即从Tomcat根目录的webapps目录，移出或删除docs、examples、host-manager、manager目录。

操作时建议做好记录或备份

确定

8.Tomcat目录权限检测(高危)

Tomcat目录权限检测访问控制

描述

在运行Tomcat服务时，避免使用root用户运行，tomcat目录(catalina.home、 catalina.base目录)所有者应改为非root的运行用户

检查提示

--

加固建议

使用chown -R <Tomcat启动用户所属组>:<Tomcat启动用户> <Tomcat目录>修改tomcat目录文件所有者，如chown -R tomcat:tomcat /usr/local/tomcat

操作时建议做好记录或备份

确定

9.Tomcat进程运行权限检测(高危)

Tomcat进程运行权限检测访问控制

描述

在运行Internet服务时，最好尽可能避免使用root用户运行，降低攻击者拿到服务器控制权限的机会。

检查提示

--

加固建议

创建低权限的账号运行Tomcat，操作步骤如下：

?--新增tomcat用户
useradd tomcat
--将tomcat目录owner改为tomcat
chown -R tomcat:tomcat /opt/tomcat
-- 停止原来的tomcat服务
--切换到tomcat用户
su - tomcat
--重新启动tomcat
/opt/tomcat/bin/startup.sh

操作时建议做好记录或备份

10.避免为tomcat配置manager-gui弱口令(高危)

避免为tomcat配置manager-gui弱口令访问控制

描述

tomcat-manger是Tomcat提供的web应用热部署功能，该功能具有较高权限，会直接控制Tomcat应用，应尽量避免使用此功能。如有特殊需求，请务必确保为该功能配置了强口令

检查提示

--

加固建议

编辑Tomcat根目录下的配置文件conf/tomcat-user.xml，修改user节点的password属性值为复杂密码, 密码应符合复杂性要求：

1、长度8位以上
2、包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%、@、^、&)
3、避免使用已公开的弱密码，如：abcd.1234 、admin@123等

操作时建议做好记录或备份

11.AJP协议文件读取与包含严重漏洞(高危)

AJP协议文件读取与包含严重漏洞入侵防范

描述

Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。该漏洞是由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能，攻击者可进一步实现远程代码执行。漏洞影响非常严重，请及时采取防护措施修复。

检查提示

--

加固建议

可使用以下方式修复加固

1. 升级到以下安全版本进行防护

| 版本号 | 下载地址 | | ---- | ---- | | Apache Tomcat 7.0.100 | http://tomcat.apache.org/download-70.cgi | | Apache Tomcat 8.5.51 | http://tomcat.apache.org/download-80.cgi | | Apache Tomcat 9.0.31 | http://tomcat.apache.org/download-90.cgi |

2. 若不需使用AJP协议，可直接关闭AJP Connector，或将监听地址改为仅监听本机localhost

编辑配置文件server.xml，将AJP协议的Connector注释掉或删除，并重启服务。

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

操作时建议做好记录或备份

12.Apache Tomcat Cluster 不安全配置导致反序列化代码执行漏洞(高危)

Apache Tomcat Cluster 不安全配置导致反序列化代码执行漏洞 入侵防范

描述

Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。当Apache Tomcat集群使用了自带session同步功能，并且没有使用EncryptInterceptor，或者处于不可信的网络环境中，攻击者可能可以构造恶意请求，造成反序列化代码执行漏洞。目前网络上已披露相关利用代码，实际利用需要相关JDK版本支持以及Tomcat Session同步端点可访问。阿里云应急响应中心提醒Apache Tomcat用户尽快排查Cluster相关配置是否安全以防止漏洞攻击。

检查提示

--

加固建议

漏洞由不安全配置造成，加强配置即可防

13.Tomcat版本存在安全漏洞(高危)

Tomcat版本存在安全漏洞入侵防范

描述

以下Tomcat版本存在漏洞需要更新 1、 10.0.0-M1 to 10.0.0-M6 9.0.0.M1 to 9.0.36 8.5.0 to 8.5.56 8.0.1 to 8.0.53 7.0.27 to 7.0.104 Apache Tomcat WebSocket 拒绝服务漏洞 参考链接：https://avd.aliyun.com/detail?id=AVD-2020-13935 2、 Apache Tomcat 9.0.0.M1 to 9.0.0.M11 Apache Tomcat 8.5.0 to 8.5.6 Apache Tomcat 8.0.0.RC1 to 8.0.38 Apache Tomcat 7.0.0 to 7.0.72 Apache Tomcat 6.0.0 to 6.0.47 JmxRemoteLifecycleListener 组件远程代码执行漏洞 参考链接：https://avd.aliyun.com/detail?id=AVD-2016-8735 3、 Apache Tomcat 10.0.0-M1—10.0.0-M4 Apache Tomcat 9.0.0.M1—9.0.34 Apache Tomcat 8.5.0—8.5.54 Apache Tomcat 7.0.0—7.0.103 Apache Tomcat Session 反序列化代码执行漏洞 参考链接：https://avd.aliyun.com/detail?id=AVD-2020-9484

检查提示

--

加固建议

升级Tomcat为新版

操作时建议做好记录或备份

确定

       如需实践，最好的选择是阿里云，买一个也不贵，实践实践，毕竟安全无小事，安全从来都是互联网企业的命脉，一旦被入侵，轻则信息泄露，重则所有服务瘫痪，所有服务器沦陷，所有服务都没了，所有信息没了，这是要出大事的。

      所以，懂安全的人的价值不言而喻，不用多说了吧？

  阿里云限量红包，速领。
阿里云限量红包https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=v6vhcyn8       腾讯云新用户专享

腾讯云优惠券_代金券_云服务器折扣券-腾讯云腾讯云优惠券,腾讯云代金券,腾讯云服务器折扣券https://cloud.tencent.com/act/vouchers/list?fromSource=gwzcw.2477393.2477393.2477393&utm_medium=cpc&utm_id=gwzcw.2477393.2477393.2477393&cps_key=b0c7af9380d6324294316347ba2c8a49      阿里云最新活动 

最新活动_阿里云最新活动，阿里云最全的优惠聚集地https://www.aliyun.com/activity?userCode=v6vhcyn8       阿里云腾讯云所有优惠汇总

浅谈VPS云服务器(内含神秘大额专属特惠)_zhumengyisheng的博客-CSDN博客怎么做一个网站？都需要什么？要个服务器？要个域名？去哪里买？哪个好啊？有优惠吗？所有的优惠都在这里了，给自己建个网站吧，毕竟要学以致用啊！https://blog.csdn.net/zhumengyisheng/article/details/121391896