Tomcat防御与加固

最新推荐文章于 2024-05-17 01:29:52 发布
最新推荐文章于 2024-05-17 01:29:52 发布
阅读量368 收藏 1
点赞数
分类专栏: 中间件漏洞 文章标签: tomcat 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43665434/article/details/116841778
版权

Tomcat防御与加固


一、权限管理

设置启动权限

实验过程:传送门

  • 添加tomcat用户组

    groupadd tomcat

  • 添加tomcat用户,并限制登录

    useradd -s /bin/bash -g tomcat tomcat

    -s 指定运行的脚本

    -g 指定用户组

    useradd -L tomcat #锁定密码,是密码无效

  • 修改目录所有者

    chown -R tomcat:tomcat /usr/local/tomcat

  • 启动tomcat

    su - tomcat -c ‘/home/tools/tomcat/bin/startup.sh’ #以tomcat用户执行脚本startup.sh


二、修改密码

cat /usr/local/tomcat/conf/tomcat-user.xml

image-20210515103757655

要么直接把用户注释掉,要么改一个复杂密码。


三、隐藏版本信息

实验过程:传送门

进入lib目录,unzip catalina.jar

修改org/apache/catalina/util/ServerInfo.properties

image-20210515110258831

修改为

server.info=Apache

server.number=0.0.1.0

server.built=Mar 28 2017 14:42:59 UTC

然后重新打包catalina.jar:

jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties

然后重启服务:

su - tomcat -c ‘/home/tools/tomcat/bin/shutdown.sh’

su - tomcat -c ‘/home/tools/tomcat/bin/startup.sh’


四、禁用管理端

  • 删除默认的文档和示例程序

    在安装目录下的webapps下的所有文件

  • tomcat的应用目录修改为非tomcat安装目录

cat /usr/local/tomcat/conf/server.xml

image-20210515112607496

在其后添加:

<Context path='' docBase='/usr/local/tomcat_base/' debug='0' reloadable='false'></Context>

五、关闭war包自动部署

默认Tomcat是开启了对war包的热部署的。为了防止被植入木马等恶意程序,因此我们要关闭自动部署。

cat /usr/local/tomcat/conf/server.xml

image-20210515113528616

将以上配置中的true改为false。阻止tomcat对war包的自动解压和自动部署。


六、端口保护

实验过程:传送门

更改tomcat管理端口8005,此端口有权限关闭tomcat服务,但要求端口配置在8000~8999之间,并更改shutdown执行的命令。

攻击者可利用telnet IP 8005连接tomcat,然后输入SHUTDOWN便可关闭tomcat服务,所以非常危险。

cat /usr/local/tomcat/conf/server.xml

image-20210515114418458


七、禁止目录浏览

cat /usr/local/tomcat/conf/web.xml

将其中的default部分listings的配置必须为false(默认为false)

image-20210515115020897


八、Tomcat日志分析

日志开启

Tomcat访问日志的配置在/usr/local/tomcat/conf/server.xml中

image-20210515115849527

%h 访问的用户IP地址* %l 访问逻辑用户名,通常返回‘-’

%u 访问验证用户名,通常返回‘-’

%t 访问时间

%r 访问的方式(post或get),访问的资源和使用的http协议版本

%s 访问返回的http状态

%T 访问所使用的时间

日志分析的场景
  • 攻击源IP数统计
  • 攻击路径统计
  • 攻击流量统计
  • 请求处理响应时间统计
  • 统计所有404错误页面
  • 统计所有500错误的页面
  • 统计访问最频繁的页面
  • 统计访问处理时间最久的页面
  • 统计并发访问频率最高的页面
0ak1ey
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Tomcat加固
qq_45174221的博客
02-11 501
本文章旨在说明如何尽可能地加强Tomcat服务器的安全性和隐私性。 免责声明:非专业人员请不要尝试在本文中的任何内容
Apache Tomcat 加固教程
allway2的博客
07-26 340
配置良好的Web应用程序将覆盖CATALINA_HOME/webapps/APP_NAME/WEB-INF/web.xml中的此默认设置,因此不会导致问题。如果您还使用Tomcat与其他Web服务器(如Apache)一起处理servlet/JSP请求,则需要允许该服务器访问端口8009,但通常可以限制在同一台机器上或至少在您的子网上访问.如果您在独立版本中运行Tomcat,则在${tomcat_home}/conf/server.xml中禁用端口8009。......
Tomcat服务安全加固和优化_tomcat加固使用安全的http请求(1)
最新发布
2401_84765537的博客
05-17 394
屏蔽版本关闭shutdown端口禁用管理界面自定义错误页面AJP协议修改Cookies安全性Tomcat安全规范Tomcat性能优化Linux 修改catalina.sh 文件windows修改文件其它内容tomcat项目的部署方式第一种:项目直接放入 webapps 目录中第二种:修改 conf/server.xml 文件第三种 在下新增相同IP不同端口部署。
如何安装监控tomcat服务_防止tomcat死掉系统无法服务的问题
12-27
如何安装监控tomcat服务_防止tomcat死掉系统无法服务的问题
tomcat加固
YaMokey的博客
11-17 299
tomcat加固 1.版本选择 大于 9.0.37 大于 8.5.57 大于 7.0.103 2.删除不必要的组件 删除webapps目录下的dosc、examples、host-manager、manager、ROOT目录 3.权限控制 使用非root运行tomcat,例如建立tomcat用户来运行tomcat 4.关闭不必要的端口服务 关闭AJP 注释掉conf/server.xml中的AJP配置: <!-- <Connector po
tomcat安全加固手册
05-09
Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目...实际上Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当公司运行tomcat 时,它实际上作为一个与Apache 独立的进程单独运行的。
Tomcat系统安全加固规范
12-14
Tomcat系统安全加固规范知识点 Tomcat系统安全加固规范是对Tomcat系统的安全配置和加固的总体要求,旨在确保Tomcat系统的安全运行和数据保护。本规范涵盖了账号管理、认证授权、日志配置、通信协议、设备其他安全...
Tomcat安全加固.txt
06-17
Tomcat安全加固.txt
TOMCAT安全加固手册.docx
03-03
TOMCAT安全加固手册
Tomcat安全加固操作清单
05-21
Tomcat安全加固操作清单
Tomcat 绑定域名,防止恶意解析
陈瑞
09-02 1586
原文: http://arui.me/index.php/archives/183/如果未备案的域名绑定到自己发布的web服务上,就会收到电信运行商的警告,如果不处理就可能会被工信部封停IP,所以我们在Tomcat上发布公网的web服务时,需要设置绑定域名,这样才能安全的保护自己的web服务不会被恶意解析。配置tomcat/conf/server.xml 文件,找到下面部分: 此处defaulth
Eclipse取消或者关闭tomcat所有自动发布(部署)方法
guizishou00的博客
07-04 8846
最近在maven多模块项目调试中,当我只想让eclipse的server启动的同时不想要项目被自动部署,虽然在overview->publishing-never publish automatically modules->edit->auto reloading enabled 这两个地方都设置了,但是启动tomcat时,项目还是被自动部署了。查找了其它相关资料,发现有更为详细的配置
java web项目war包自动升级部署方案
weixin_33725270的博客
07-10 2556
前言 之前,我们公司部署以及升级都是由运维去管理的,联想到很多开源平台都支持自动升级,索性我也做个自动升级war的功能。这里没有用docker镜像发包,灰度发包等,只适用于单个tomcat的部署环境,支持docker单个tomcat容器。 分析 先简单分析下war包自动升级流程: 检查是否需要更新。 下载更新的war包到服务器临时目录。(如后台上传则无需1,2步骤) 停止tomcat 清理tom...
【中间件安全】Tomcat 安全加固规范
12-14 366
1. 适用情况 适用于使用Tomcat进行部署的Web网站。 2. 技能要求 熟悉Tomcat配置操作,能够利用Tomcat进行建站,并能针对站点使用Tomcat进行安全加固。 3. 前置条件 1、根据站点开放端口,进程ID,进程名称,确认站点采用Tomcat进行部署; 2、找到Tomcat路径: 方法一:开始->所有程序->Apache Tomcat->...
Tomcat部署程序避免jsp木马攻击
SJZYLC的专栏
04-07 2503
JSP的本质是servlet,当外面攻击者将jsp文件上传到程序目录下,就能通过访问jsp文件进行服务攻击,可以通过程序避免jsp文件上传。 如果jsp文件已经上传上去,可以避免jsp文件被直接访问,思路是通过servlet对*.jsp、*.jspx文件进行过滤,核心代码如下: Servlet文件: Object flag = request.getAttribute("org.apach...
Tomcat服务安全加固和优化
qq_40907977的博客
02-09 3367
转载来源 : https://help.aliyun.com/knowledge_detail/37421.html?spm=a2c4g.11186623.4.5.4ad6510eY2UhOS 介绍 tomcat服务默认启用了管理后台功能,使用该后台可直接上传 war 文件包对站点进行部署和管理。由于运维人员的疏忽,可能导致管理后台存在空口令或者弱口令的漏洞,使得黑客或者不法分子可以利用该漏洞直接...
java代码混淆 加密 war包jar包加密最简单的方式 支持JDK16
专注软件安全,授权解决方案
01-18 2849
4 常见问题 4.1 war包怎么加密? War包因软件的复杂性,已经包括第三方jar包,配置文件等内容,所以war包加密需要将class文件拷贝出来进行混淆后,在拷贝回war中: 4.1.1比如当前有一个war包 4.1.2将war用压缩软件打开,找到要混淆的类,复制出来 4.1.3将类打成一个zip包 4.1.4将zip包进行混淆操作,右键打开混淆后的zip后发现已经混淆成功了 4.1.5 将zip包中的class文件 拷贝回原来war的...
tomcat安全加固
10-11
加固Tomcat安全,可以采取以下措施: 1. 修改管理界面的默认账号密码,避免被攻击者利用; 2. 禁用不必要的服务和组件,如WebDAV等; 3. 使用HTTPS协议保证数据传输过程中的安全性; 4. 对Tomcat进行适当的配置,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值