基线扫描tomcat安全加固-检查是否支持HTTPS等加密协议

已于 2023-11-24 17:40:56 修改
阅读量972 收藏 7
点赞数 11
分类专栏: 安全 文章标签: 安全 https 网络协议
于 2023-11-24 14:29:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/malz_zh/article/details/134597204
版权

背景:基线扫描时,docker镜像中的tomcat在检查是否支持HTTPS等加密协议这一项上未通过。

思路:先通过JDK自带的keytool工具生成证书,再从tomcat的server.xml配置文件中增加配置。

我不确定不同版本的JDK生成的证书是否可以通用,所以我使用镜像自带的jdk生成证书,

因为我使用的是docker镜像运行项目,所以我先进入容器内部,使用jdk生成证书,让后导出证书,放到dockerfile文件中,每次打包都打进镜像。

解决方案:

1、进入容器内部:

        docker exec -it nginx_latest bash  #nginx_latest是容器名;

2、生成证书:

/usr/local/openjdk-11/bin/keytool -genkey –alias tomcat –keyalg RSA -keystore /path/to/my/keystore

/usr/local/openjdk-11是你的jdk路径,/path/to/my/keystore是生成的证书路径,

注意:

        (1)、生成证书的命令从网页上复制后执行可能会有报错, 最好是对比着手敲一遍,不知道是不是编码格式的问题。

        (2)、keystore是一个文件不是一个目录,会在/path/to/my目录下生成一个keystore证书文件。

        (3)执行这个指令后,会让输两次密码,然后输姓,输工作单位,所在地市,地市编码,最后确认。每次都会给提示让输入什么,每次输入完回车就可以。

3、从容器中导出证书:

docker cp 容器id或名称:容器内地址 容器外地址 如:docker cp  mysql:/path/to/my/keystore /root

4、打镜像:

        把keystore文件和dockerfile文件放再一起,然后在dockerfile文件上加上

COPY keystore /usr/local/tomcat/keystore

5、配置server.xml:

<Connector classname="org.apache.catalina.http.HttpConnector"
            port="8443" protocol="HTTP/1.1" minProcessors="5"
            SSLEnabled="true"
            maxprocessors="100"
            enableLookups="true" acceptCount="10" debug="0"
            scheme="https"
            Factory_classname="org.apache.catalina.SSLServerSocketFactory"
            secure="true"
            clientAuth="false"
            keystoreFile="/usr/local/tomcat/keystore"
            keystorePass="pwssword"
            sslProtocol="TLS"/>

 keystoreFile="/usr/local/tomcat/keystore" 这个是存放的地址;keystorePass="pwssword" 这个是密码。

然后再运行镜像就可以了。

如果不是docker运行的项目,只需要执行第2步和第5步就可以;

1988我想和这个世界谈谈
关注
  • 11
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基线-h3c网络设备安全加固-检查的配置命令参考.xlsx
11-19
主要介绍h3C网络设备包含交换机、路由器、WLAN、防火墙V7设备安全加固的判断依据、检查方法、加固指南。
Tomcat系统安全基线规范
wangyq05的博客
12-12 198
1 账号管理、认证授权 1.1.1 ELK-Tomcat-01-01-01 1.1.2 ELK-Tomcat-01-01-02 1.1.3 ELK-Tomcat-01-01-03 1.1.4 ELK-Tomcat-01-01-04 2 日志配置 2.1.1 ELK-Tomcat-02-01-01 3 通信协议 3.1.1 ELK-Tomcat-03-01-01 3.1.2 ELK-Tomcat-03-01-02 4 设备其他安全要求 4.1.1 ELK-Tomcat-04-01-01
tomcat配置https协议的支持
Stainky的专栏
05-16 787
1.生成安全证书: eg:keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "/Users/lijie/Documents/test.keystore" 输入密钥库口令:123456 再次输入新口令:123456 您的名字与姓氏是什么?   [Unknown]:  test  您的组织单位名称是什么?   [Unk
Tomcat修行之路-4.TomcatHttps支持
林浅时无人的博客
12-21 301
概述 Https简介 Http超文本传输协议,明文传输,不安全Https在传输数据的时候会对数据进行加密—ssl,TLS协议 和Http的区别 Https协议使用时需要到电子商务认证授权机构CA申请证书 Http默认使用8080,Https默认使用8443端口 Https是具有SSL加密的安全性传输协议,对数据的传输进行加密,效果上相当于Http的升级版 Http的连接是无状态的,不安全的;Https协议是由SSL+HTTP协议构建的可进行加密传输,身份认证的网络协议。 工作原理 注意:Https
服务器配置https协议,三种免费的方法
firstcode666的博客
03-07 8130
最近想搞一个网站玩玩,发布网站用https协议已经是大势所趋了。例如微信小程序,不使用https协议根本不让接入。所以,分享一下我尝试过的三种方法。 1.Linux自签(OPENSSL生成SSL自签证书) 2.阿里云免费证书 3.Let’s Encrypt永久免费SSL证书【墙裂推荐】 一、Linux自签(OPENSSL生成SSL自签证书) 第1步:生成私钥 执行如下命令生成一个RSA私钥 //生成rsa私钥,des3算法,1024位强度,ssl.key是秘钥文件名。 openssl genrsa -d.
服务器Tomcat配置https协议
qq_40982416的博客
10-20 666
一.了解服务器配置https协议 HTTPS,是以安全为目标的HTTP通道,简单讲是HTTP安全版。即HTTP下加入SSL层,HTTPS安全基础是SSL,因此加密的详细内容就需要SSL。 配置HTTPS就需要证书,证书通过权威的CA机构付费获得的证书才能被互联网承认,我们将其放在服务器上面,配置好后,就可以进行https通信了。 通过https访问的网站,在地址前可以看到安全两个字,点击可以查看服务器证书。 在这里插入图片描述 在这里插入图片描述 httpshttp的主要区别: 一、https协议需要
配置Tomcat支持https协议
王绍桦
10-30 1315
1.通过JDK自带的keytool生成证书 keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:/tomcat.keystore -validity 36500   备注:在命令提示符直接输入keytool命令生成证书,需提前配置JDK环境变量,validity为证书有效期,单位天 2.把生成的tomcat.keystore文件...
Tomcat基线检查
gd0913的博客
04-20 1762
既无权访问非必须的文件,又不能执行非必须的程序 威胁等级:High 规则描述 缺省情况下,Java运行时根据运行它的用户授予安全权限。当Tomcat以系统管理员身份或作为系统服务运行时,Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来,Java运行时就取得了所有文件夹中所有文件的全部权限。并且Servlets(JSP在运行过程中要转换成Servlets)取得了同样的权限。所以Java代码可以调用Java SDK中的文件API列出文件夹中的全部文件,删除任何文件,最大的危险在于以系统权限运行
tomcat 基线检查
qq_45434762的博客
05-13 677
删除初始文件删除tomcat安装时所创建的docs和examples目录下的初始内容删除方法:进入tomcat的webapps目录,删除docs目录和examples目录及其内容控制台及...
14-1 tomcat安全基线检查
最新发布
weixin_43263566的博客
12-07 1423
Apache Tomcat 是一款广泛使用的开源Web应用服务器,它主要实现了Java Servlet、JavaServer Pages (JSP) 和 Java Expression Language 规范,使得开发者可以构建和部署由Java编写的Web应用程序。作为一个成熟且经过广泛测试的解决方案,Tomcat 在业界享有较高的声誉,特别是因为其对于Web应用的高效运行支持,即便是在性能相对有限的硬件平台上,也能保证良好的运行效率。
01-阿里云标准-Apache Tomcat 安全基线检查
03-25
01-阿里云标准-Apache Tomcat 安全基线检查
[ 安全加固基线规范 ] 基线检查脚本.rar
02-11
[ 安全加固基线规范 ] 基线检查脚本
安全基线-交换机-安全加固
08-22
安全基线-交换机--安全加固
防火墙-安全基线-加固
08-22
防火墙-安全基线-加固
tomcat安全基线配置建议
Gary_H的专栏
02-15 2542
 检查项目: tomcat进程运行权限检测 路径: /xxx/xxx/apache-tomcat-7.0.88 当前值: 0 加固建议: 请创建低权限的账号运行tomcat 检查项目: 开启用户登录失败锁定 路径: /xxx/xxx/apache-tomcat-7.0.88/conf/server.xml 当前值: 加固建议: &lt;Realm className="org.apache.ca...
tomcat localhost 找不到_安全服务之安全基线及加固(四)Tomcat
weixin_39639505的博客
12-13 151
0x01 前言又到了木偶人哈克尔的笔记分享~有人期待嘛~安全服务工程师大家应该都知道,对于他的岗位职责你可能会说不就是渗透测试啊、应急响应嘛.....实际上正式一点的企业对于安服的要求是包括了漏洞扫描安全基线检查、渗透测试、安全加固、日志分析、恶意代码检查、应急响应、安全加固等差不多十个方面的内容的。内容多吗?我也觉得多!对于基线加固说,不管是对于安服还是安全运营人员来说都是被要求的...
Apache Tomcat 加固教程
allway2的博客
07-26 320
配置良好的Web应用程序将覆盖CATALINA_HOME/webapps/APP_NAME/WEB-INF/web.xml中的此默认设置,因此不会导致问题。如果您还使用Tomcat与其他Web服务器(如Apache)一起处理servlet/JSP请求,则需要允许该服务器访问端口8009,但通常可以限制在同一台机器上或至少在您的子网上访问.如果您在独立版本中运行Tomcat,则在${tomcat_home}/conf/server.xml中禁用端口8009。......
[基线加固]常见中间件(Tomcat&Nginx&Apache)
weixin_44508748的博客
04-17 2017
Tomcat安全基线加固 1.应按照不同的用户分配不同的账号,避免不同用户间共享账号。且应删除或锁定与设备运行、维护等工作无关的账号 无共享账号。各账号都可以登录Tomcat Web服务器为正常。 访问 http://ip:8080/manager/html管理页面,进行Tomcat服务器管理;修改tomcat/conf/tomcat-users.xml配置文件,删除与工作无关的帐号 参考配置: ...
Apache Tomcat九项安全加固标准配置(阿里云标准安全基线检查
chaishen10000的专栏
05-13 3833
一、开启日志记录 | 安全审计 描述 Tomcat需要保存输出日志,以便于排除错误和发生安全事件时,进行分析和定位 检查提示 – 加固建议 1、修改Tomcat根目录下的conf/server.xml文件。 2、取消Host节点下Valve节点的注释(如没有则添加)。 <Valve className=“org.apache.catalina.valves.AccessLogValve” directory=“logs” prefix=“localhost_access_log” suffix=".t
h3c路由器基线检查加固
10-10
H3C路由器基线检查加固是指对H3C路由器的基线配置进行检查,并根据检查结果对路由器进行加固措施的操作。基线检查是保证网络设备安全的重要步骤,它可以帮助管理员了解设备的配置状态是否符合安全标准,发现潜在的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值