tomcat安全管理策略

最新推荐文章于 2024-05-01 06:51:37 发布
最新推荐文章于 2024-05-01 06:51:37 发布
阅读量2.8k 收藏
点赞数
分类专栏: xmlrpc javaee ubuntu tomcat 文章标签: tomcat security database jdbc server vim
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ihefe/article/details/6082915
版权
javaee 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
xmlrpc
3 篇文章 0 订阅
订阅专栏
ubuntu
2 篇文章 0 订阅
订阅专栏

这段时间在使用apache.xmlrpc和pgsql-jdbc碰到tomcat安全问题

 

HTTP Status 500 -

type Exception report

message

description The server encountered an internal error () that prevented it from fulfilling this request.

exception

javax.servlet.ServletException: Could not initialize class org.apache.xmlrpc.webserver.XmlRpcServletServer
	org.apache.catalina.security.SecurityUtil.execute(SecurityUtil.java:324)
	org.apache.catalina.security.SecurityUtil.doAsPrivilege(SecurityUtil.java:162)
	org.apache.catalina.security.SecurityUtil.doAsPrivilege(SecurityUtil.java:115)
	org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:102)
	org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:298)
	org.apache.coyote.http11.Http11Processor.process(Http11Processor.java:859)
	org.apache.coyote.http11.Http11Protocol$Http11ConnectionHandler.process(Http11Protocol.java:588)
	org.apache.tomcat.util.net.JIoEndpoint$Worker.run(JIoEndpoint.java:489)
	java.lang.Thread.run(Thread.java:662)

 

note The full stack trace of the root cause is available in the Apache Tomcat/6.0.24 logs.

Apache Tomcat/6.0.24

 

#postgresql-jdbc-error

 

SQLException: Your security policy has prevented the connection from being attempted. You probably need to grant the connect java.net.SocketPermission to the database server host and port that you wish to connect to.
SQLState: 99999
VendorError: 0

 

#原来etc/init.d/tomcat6在ubuntu8.0+服务器默认开启保护,设置关闭就可以访问xmlrpc.

sudo vim /etc/init.d/tomcat6

# Use the Java security manager? (yes/no)

 TOMCAT6_SECURITY=yes

#但关闭后tomcat环境安全级别比较低,易找到漏洞,后来找到了解决方案!

 

#更改策略文件

 

sudo vim /var/lib/tomcat6/conf/policy.d/50local.policy 

#然后在最后一行添加, database是我的项目文件配置有所有权限

 

grant codeBase "file:${catalina.base}/webapps/database/-" {

         permission java.security.AllPermission;

 };

 

#ok搞定jdbc连接和xmlrpc访问

 

 

 

参考:http://www.jaxmao.org/tomcat-docs/security-manager-howto.html

ihefe
关注
专栏目录
Tomcat的系统安全管理
seaboat——a free boat on the sea.(公众号:远洋号)
10-20 4164
Tomcat是一个Web容器,我们开发的Web项目运行在Tomcat平台,这就好比将一个应用嵌入到一个平台上面运行,要使嵌入的程序能正常运行,首先平台要能安全正常运行。并且要最大程度做到平台不受嵌入的应用程序影响,两者在一定程度上达到隔离的效果。Tomcat与Web项目也是要最大程度隔离,使Tomcat平台足够安全。 我们先看看Tomcat可能存在哪些安全威胁。 (1) 在web应用的jsp页
Tomcat如何实现资源安全管理
seaboat——a free boat on the sea.(公众号:远洋号)
04-26 2655
在了解了认证模式及Realm域后,我们看看Tomcat是如何设计实现资源安全管理的。在认证模式上,必须要支持多种认证模式,包括Basic模式、Digest模式、Form模式、Spnego模式、SSL模式及NonLogin模式。如何实现这些认证模式比较优雅,或者说比较清晰?看下图,在tomcat中一个请求从浏览器发送过来后,请求接收后会流向四个级别容器处理,即Engine->Host->Contex
tomcat server安全策略
老尹的笔记
03-19 981
 将以下内容拷贝到appserver*****************************************************grant {   // Permission for allowing Hibernate read/write from its configuration files.   permission java.util.PropertyPermissio
【技术分享】Tomcat基线安全
ff00yo的博客
04-18 1360
01前言 前几天@wilson师傅要测试线上命令监控功能,将我写的java-sec-code (https://github.com/JoyChou93/java-sec-code) 应用打包到线上的Tomcat进行命令执行测试,想到公司发布系统是在Tomat上运行的Java应用,所以去评估了公司发布系统的安全问题。结果发现一个很严重的安全漏洞,觉得有必要对Tomcat安全配置进行总结和说明。...
Tomcat 安全管理 Catalina.policy
小楼一夜听春雨,深巷明朝卖杏花
10-15 1732
tomcat安全策略文件 Catalina.policytomcat 运行未知的web应用时,为了防止java代码对服务器系统产生安全影响。比如删除系统文件,重启系统等。需要对java 代码进行安全控制。这时候就要配置这个文件。更加详细资料可以自行学习java 安全管理器 SecurityManager。 Tomcat里面可以放置多个web项目,多个项目之间本来是互不影响,各自运行各自的项目。假如项目1放置了不安全的代码,通过I/O流去读取tomcat配置信息和项目2的相关信息。通过I/O流发给用
tomcat安全加固手册.pdf
05-22
tomcat安全加固手册》正是一份为了提升Tomcat服务器安全水平而编写的指南。 首先,手册强调了版本更新和补丁安装的重要性。在信息安全领域,保持软件更新是至关重要的一个环节,因为许多攻击手段都是针对已知漏洞...
Tomcat安全升级战:6大策略铸就Java Web铁壁防御
最新发布
java专栏
05-01 247
通过上述六项核心配置,我们为Tomcat筑起了一道坚固的安全防线。请记得,安全是一个动态过程,定期检查配置、更新软件以及关注安全社区的最新动态,都是维持服务器安全不可或缺的部分。
Tomcat安全设置 win2003 下tomcat权限限制
09-30
本文将详细介绍如何在该操作系统上配置Tomcat安全策略,以防止潜在的安全威胁。 首先,我们需要创建一个新的用户账户,专门用于管理Tomcat服务。在“计算机管理”界面,选择“本地用户和组”,然后右键点击“用户...
二级等保主机安全测评作业指导书-中间件Tomcat.pdf
07-11
在中国的信息安全管理体系中,“等保”即“等级保护”,是中国网络安全法的重要组成部分,旨在根据不同级别的信息系统采取相应的安全保障措施。二级等保主要针对的是具有一定影响力的信息系统,这类系统一旦发生安全...
Tomcat安全管理规范
wuxingge的博客
05-08 535
Tomcat安全管理规范 前言 随着公司内部使用Tomcat作为web应用服务器的规模越来越大,为保证Tomcat的配置安全,防止信息泄露,恶性攻击以及配置的安全规范,特制定此Tomcat安全配置规范。 定位:仅对tomcat安全配置部分进行标准规范。 适用版本范围:tomcat 6.* 2 Tomcat安装规范注:所有线上运行tomcat必须严格安装本标准执行。 **2.1 tomcat用户设置**[tomcat@tuan-node1 ~]# useradd -d /tomcat -u 501 to
tomcat安全加固
12-09
tomcat服务器是多数用java开发的web站点首选之一,然而默认的安全选项并不是那么完美,此教程用于tomcat安全加固问题。
tomcat 安全规范(tomcat安全加固和规范)
09-29
tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击
Tomcat 十大安全优化方法(详解版)
qq_53058639的博客
03-08 1102
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Tomcat源码解析(五):安全性控制
进击吧!!
07-12 643
Tomcat源码:安全性控制Tomcat安全性控制流程包括哪几个部分?Authenticatorhttp有几种身份认证方式,包括Basic认证、摘要认证等。其中基本认证,是把用户名和密码用BASE64加密,在request中传给服务端,这样服务端就可以确定用户的身份了。主要校验流程如下:public boolean authenticate(HttpRequest request,
tomcat十大安全优化措施
u010448530的博客
03-08 456
1、telnet管理端口保护 使用telnet连接进来可以输入SHUTDOWN可以直接关闭tomcat,极不安全,必须关闭。可以修改默认的管理端口8005改为其他端口,修改SHUTDOWN指令为其他字符串。 # vi conf/server.xml <Server port="8365" shutdown="IN0IT"> 2 AJP连接端口保护 Tomcat服务器通过Co...
未实施内容安全策略 (CSP)
m0_47005349的博客
06-01 1926
描述 解决方式 在nginx.conf里添加 add_header Content-Security-Policy "default-src 'self';"; 参考博客:https://blog.csdn.net/changka/article/details/90754657
tomcat安全设置
涛涛baby
08-16 844
tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。       (1).服务降权     默认安装时Tomcat是以系统服务权限运行的,因此缺省情况下几乎所有的Web服务器的管理员都具有Administrator权限,这和IIS不同,存在极大的安全隐患,
基于PostgreSQL链接JDBC源码分析
juewang_love的博客
12-27 1728
前面2篇博客分析了关于JDBC使用和源码的一些api的介绍。但是driver、connection、statement及resultSet都只是接口,定义了方法,但是并没有具体的实现,具体实现还是得各个数据库自己提供链接的jar,实现JDBC定义的接口。 这篇文章就让我们一起来看看基于PostgreSQL的JDBC连接代码的实现源码。上篇文章讲了,在driverManager中,会自动初始化dri
DriverManager.getConnection()方法涉及到的源码详解
热门推荐
HOXJUN的博客
07-13 4万+
DriverManager.getConnection一共有四个重载方法,前三个由public修饰,用来获取不同类型的参数,这三个getConnection实际相当于一个入口,他们最终都会return第四个私有化的getConnection方法,最终向第四个私有化方法的传入参数都是url,java.util.Properties,以及Reflection.getCallerClass(),这个方法...
Tomcat安全防护策略详解
3. **Tomcat安全配置**:Tomcat内置了SecurityManager,用于管理应用程序的权限。了解并启用这个功能可以增强服务器的安全性。此外,通过调整Tomcat的配置,例如限制不必要的网络访问,也能提高安全性。 4. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值