對網(wǎng)絡安全等級保護中tomcat整改的探討

盧方建 盧方玉 關益香 彭觀平

（陽江市婦幼保健院，廣東 陽江 529500）

一、tomcat的相關情況

tomcat服務器是一個免費的開放源代碼的Web應用服務器，屬于輕量級應用服務器，在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的場合下被普遍使用，是開發(fā)和調試JSP程序的首選。對于一個初學者來說，可以這樣認為，當在一臺機器上配置好Apache服務器，可利用它響應HTML（標準通用標記語言下的一個應用）頁面的訪問請求。實際上Tomcat是Apache服務器的擴展，但運行時它是獨立運行的，所以當你運行tomcat時，它實際上作為一個與Apache獨立的進程單獨運行的。

在我院微信預約掛號系統(tǒng)前置機中，就安裝了tomcat，作為日常業(yè)務運作的主要支撐系統(tǒng)之一，tomcat的整改就很有必要。

二、改造前的概況

（一）tomcat版本情況

微信前置機使用了tomcat作為web應用服務器，由于微信預約掛號等功能上線較早，配置服務器時使用的tomcat版本較低，后期也并未做過版本升級，這增加了web應用服務器的風險。

（二）文檔和示例程序保存情況

在tomcat配置完成后，文檔和示例程序就不再是必要的文件存在，查看并刪除這些文件，不留漏洞讓不法分子有機可乘。

（三）控制臺口令情況

查詢tomcat控制臺，發(fā)現(xiàn)口令復雜度并未達到相應要求，木桶原理，每一個薄弱處都有必要加固。

（四）檢查SHUTDOWN字符串設置情況

為了防止惡意用戶telnet到8005端口后，發(fā)送SHUTDOWN命令停止tomcat服務，設置復雜的字符串，防止惡意用戶猜測，查看tomcat發(fā)現(xiàn)并未做此設置。

（五）檢查運行身份的設置情況

查看tomcat的啟動腳本或服務，發(fā)現(xiàn)并未以tomcat身份運行，這將降低了安全性，有必要進行整改。

三、整改實用操作

（一）安裝新版本，修補漏洞

查看tomcat版本信息，版本號非最新，所以安裝最新版tomat，安裝地址為官網(wǎng)https://tomcat.apache.org/，下載后按照提示一步步安裝即可，前提是要保證升級后對業(yè)務不受影響，且升級時間點要選擇對業(yè)務影響最小的夜間比較好。

（二）刪除文檔和示例程序

tomcat安裝完畢正常使用后，有些文檔和示例程序就不需要了，留存下來會成為安全隱患，操作方法：打開tomcat_home/webapps文件夾，文檔和示例程序默認存在docs和examples文件夾中，把這兩個文件夾刪除即可。

（三）加固tomcat控制臺，設置復雜的口令

1.檢查方法

（1）默認通過http://ip:8080/manager/html可以訪問tomcatmanager，如果不需要使用，建議刪除tomcat_home/webapps/manager和host-manager文件夾；

默認通過http://ip:8080/admin可以訪問tomcatadmin，如果不需要使用，建議刪除tomcat_home/webapps/admin文件夾

（2）如果需要使用tomcatmanager，打開tomcat_home/conf/tomcat-users.xml，查看用戶密碼復雜度，例如：

2.加固方法

（1）刪除tomcat_home/webapps下的相關文件夾

（2）在tomcat-users.xml中為所有用戶設置復雜的密碼

（四）設置SHUTDOWN字符串

防止惡意用戶telnet到8005端口后，發(fā)送SHUTDOWN命令停止tomcat服務；首先通過打開tomcat_home/conf/server.xml，查看是否設置了復雜的字符串，發(fā)現(xiàn)沒有設置，則通過來設置復雜的字符串，防止惡意用戶猜測。

（五）設置運行身份，以tomcat用戶運行服務，增強安全性

查看tomcat的啟動腳本或服務，確認是否以tomcat身份運行，服務器采用windowsserver2012操作系統(tǒng)，所以設置操作如下：

1.新建一個tomcat用戶；

2.設置tomcat用戶對tomcat_home的相關權限；

3.在服務管理器(service.msc)中找到tomcat服務，右鍵選擇屬性，設置登錄身份為tomcat用戶。

四、結語

數(shù)據(jù)庫整改方案操作需要一定專業(yè)知識，每一步都要衡量是否會對正在運行的業(yè)務程序產(chǎn)生影響；盡量做到按此方案整改，能明顯提升數(shù)據(jù)庫的安全水平，這對于醫(yī)院業(yè)務工作可持續(xù)進行起到重要的作用。