阅读量:23
1. 系统与基础环境安全加固
- 更新系统与软件包:定期执行
sudo apt update && sudo apt upgrade,修复操作系统及Java环境的已知漏洞,降低被攻击风险。 - 安装Java环境:选择OpenJDK(如
sudo apt install openjdk-11-jdk),避免使用过时或未维护的Java版本,通过java -version验证安装。 - 配置强密码策略:通过
libpam-pwquality模块强化密码复杂度(如要求包含大小写字母、数字和特殊字符),编辑/etc/security/pwquality.conf调整参数(如minlen=12、dcredit=-1)。 - 限制root使用:创建普通用户(
sudo adduser myuser)并加入sudo组(sudo usermod -aG sudo myuser),日常操作通过sudo提升权限,避免直接登录root。
2. Tomcat服务安全配置(JSP运行核心组件)
- 专用用户运行Tomcat:创建
tomcat用户组及用户(sudo groupadd tomcat; sudo useradd -s /bin/false -g tomcat -d /opt/tomcat tomcat),将Tomcat目录所有权转移给该用户(sudo chown -R tomcat:tomcat /opt/tomcat),防止以root权限运行服务。 - 修改默认端口:编辑
/opt/tomcat/conf/server.xml,将HTTP端口从8080改为非标准端口(如1234),HTTPS端口从8443改为8444,减少自动化扫描攻击。 - 删除默认页面与示例应用:移除
/opt/tomcat/webapps下的docs、examples文件夹,避免暴露服务器信息及潜在漏洞利用入口。 - 禁用管理控制台:重命名或删除
manager、host-manager应用(sudo mv /opt/tomcat/webapps/manager /opt/tomcat/webapps/manager_disabled),若需保留则通过tomcat-users.xml严格限制访问IP及用户权限。 - 隐藏版本信息:在
server.xml的Connector标签中添加server="Custom Server Name",避免通过HTTP响应头泄露Tomcat版本,降低针对性攻击概率。 - 配置SSL/TLS:申请Let’s Encrypt免费证书(
sudo apt install certbot python3-certbot-nginx),编辑server.xml添加HTTPS连接器,强制使用HTTPS加密通信(SSLEnabled="true"、scheme="https"、secure="true")。
3. JSP应用代码安全实践
- 输入验证与过滤:对所有用户输入(如表单、URL参数)进行白名单验证(如用户名仅允许字母、数字),使用
javax.validation.constraints注解(如@Pattern(regexp="[a-zA-Z0-9_]{4,16}"))或Apache Commons Validator库,防止SQL注入、XSS等攻击。 - 输出编码:使用JSTL的
${fn:escapeXml(userInput)})对输出到页面的内容进行编码,避免恶意脚本执行。 - 参数化查询:使用JDBC的
PreparedStatement(如SELECT * FROM users WHERE username = ?)或Hibernate的HQL参数绑定,替代拼接SQL语句,防止SQL注入。 - 安全框架集成:采用Spring Security框架实现身份验证(如表单登录、OAuth2)、授权(如
@PreAuthorize注解控制方法访问权限)及会话管理(如设置session-timeout、使用Secure/HttpOnlyCookie)。
4. 网络与访问控制
- 防火墙配置:使用
ufw(Uncomplicated Firewall)限制入站流量,仅开放必要端口(如HTTP 80、HTTPS 443、SSH 22、Tomcat 1234/8443),执行sudo ufw enable启用防火墙,sudo ufw allow 1234/tcp允许Tomcat HTTP端口。 - SSH安全加固:修改
/etc/ssh/sshd_config,更改默认端口(如Port 2222)、禁用root登录(PermitRootLogin no)、禁用密码认证(PasswordAuthentication no),使用SSH密钥对认证(ssh-keygen -t rsa、ssh-copy-id user@remotehost),降低SSH暴力破解风险。 - 限制远程管理访问:通过Tomcat的
tomcat-users.xml配置IP白名单(如
5. 监控与维护
- 日志审计:定期检查
/opt/tomcat/logs/catalina.out(应用日志)、/var/log/auth.log(SSH登录日志)、/var/log/syslog(系统日志),使用Logwatch工具生成每日日志报告(sudo apt install logwatch; sudo logwatch --output mail),监控异常活动(如频繁登录失败、大量404请求)。 - 定期更新:关注Debian安全公告(
sudo apt list --upgradable)及Tomcat官方更新(如tomcat9包),及时升级到最新稳定版本,修复已知漏洞。 - 备份策略:使用
rsync或Timeshift工具定期备份JSP应用代码、数据库及配置文件(如/opt/tomcat/webapps/yourapp、/etc/tomcat9/),存储到异地或云存储,防止数据丢失。