别只改配置！TongWeb安全加固后，这些隐藏目录和组件记得清理

TongWeb安全加固实战：隐藏目录与组件的深度清理指南

当大多数运维团队完成TongWeb的常规安全配置后，往往容易忽略一个关键环节——那些默认安装却鲜少使用的目录和组件，它们可能成为攻击者最爱的突破口。本文将带您深入挖掘这些"隐蔽角落"，提供一套完整的清理方案。

1. 为什么常规加固远远不够？

在最近一次针对金融行业的渗透测试中，安全团队发现超过80%已配置HTTPS和禁用危险HTTP方法的TongWeb服务器，仍然存在通过sample应用上传webshell的风险。攻击者往往不会正面硬刚你的安全配置，而是寻找那些被遗忘的默认组件。

典型风险场景：

• 未使用的ActiveMQ控制台暴露在内部网络
• 示例应用中的测试接口未删除
• 遗留的session复制组件包含已知漏洞
• 开发环境配置文件未清理

提示：安全加固不是打勾清单，而是持续减少攻击面的过程

2. 必须清理的默认目录清单

根据TongWeb不同版本的部署结构，这些目录需要重点检查：

操作示例：

# 安全删除示例目录（建议先备份） cd $TW_HOME rm -rf samples/ docs/api-explorer/ # 禁用DataGrid组件 mv TongDataGrid/ TongDataGrid.bak

3. 高危默认组件处置方案

3.1 sysweb应用的upload servlet

这个隐藏的上传接口经常被忽视：

1. 定位配置文件：

   vi applications/sysweb/WEB-INF/web.xml

2. 删除以下内容：

   <servlet> <servlet-name>upload</servlet-name> <servlet-class>com.tongweb.admin.jmx.remote.server.servlet.AppUploadServlet</servlet-class> </servlet> <servlet-mapping> <servlet-name>upload</servlet-name> <url-pattern>/upload</url-pattern> </servlet-mapping>

注意：此操作仅影响commandstool远程部署功能

3.2 示例数据库配置

检查这些位置残留的测试配置：

• applications/sample-db/WEB-INF/classes/db.properties
• conf/jdbc-demo.xml

4. 清理后的验证与监控

完成清理后，建议执行以下检查：

1. 完整性验证：

   # 检查关键服务是否正常 curl -k https://localhost:8443/api/healthcheck

2. 漏洞扫描：

   • 使用Nessus或OpenVAS重新扫描
   • 重点检查8000-9000端口残留服务

3. 建立基线监控：

   # 监控关键目录变更 auditctl -w /opt/TongWeb/samples/ -p wa -k tongweb_alert

常见问题排查表：

5. 进阶加固建议

对于追求极致安全的团队，还可以考虑：

1. 文件权限精细化控制：

   chmod -R 750 $TW_HOME/bin chown -R tongweb:tongweb $TW_HOME

2. 日志加固配置：

   # 在startWebLogic.sh中添加 -Daudit.log.file.maxSize=51200 -Daudit.log.file.retentionDays=30

3. 定期清理策略：

   # 每月清理临时文件 0 3 1 * * find $TW_HOME/temp/ -type f -mtime +7 -exec rm {} \;

在一次政府项目审计中，通过实施上述全套清理方案，系统暴露的CVE漏洞数量从37个降至2个，且均为低风险漏洞。这印证了深度清理在安全加固中的关键价值——它让安全团队能够集中精力防护真正的关键资产，而不是为那些根本不需要的组件疲于奔命。