tomcat 基线检查

最新推荐文章于 2023-12-07 00:30:47 发布
最新推荐文章于 2023-12-07 00:30:47 发布
阅读量705 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45434762/article/details/106089078
版权


删除初始文件

删除tomcat安装时所创建的docs和examples目录下的初始内容
删除方法:
进入tomcat的webapps目录,删除docs目录和examples目录及其内容

控制台及口令安全

如果无需使用控制台功能,删除webapps目录下的manager目录即可
如需使用控制台,则需要配置强口令
配置方法(tomcat 6.x/7.x/8.x/9.x):
编辑tomcat/conf/tomcat-users.xml文件

<role rolename="manager-gio">
<user username="ManagerName" password="Managerpassword" roles="manager-gui"/>

配置安全的shutdown字符串

在配置Tomcat server.xml文件中的Server时,有一个配置关闭端口的设置,默认如下:

<Server port="8005" shutdown="SHUTDOWN">

如果使用telnet连接到8005端口,并输入SHUTDOWN就会关闭tomcat服务,所以需要配置较强的shutdown字符串

防止目录遍历漏洞

检查conf/web.xml的listings配置是否为false

        <init-param>
            <param-name>listings</param-name>
            <param-value>false</param-value>


        </init-param>

日志配置

对日志记录进行配置,保证其记录了toncat的访问日志
在conf/server.xml中进行以下配置:
如果以下内容被注释,删除注释符,即可启用日志记录

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="localhost_access_log." suffix=".txt"


               pattern="%a %l %u %t "%r" %s %b" />

禁止非HTTP方法访问

禁止非HTTP方法访问,如PUT、DELETE、TRACE等
配置方法:
在web.xml中添加以下内同

<security-constraint>
                <web-resource-collection>
                        <url-pattern>/*</url-pattern>
                        <http-method>PUT</http-method>
                        <http-method>DELETE</http-method>
                        <http-method>HEAD</http-method>
                        <http-method>OPTIONS</http-method>
                        <http-method>TRACE</http-method>
                </web-resource-collection>
                <auth-constraint>
                </auth-constraint>
        </security-constraint>


连接数设置

<!--
 <Executor name="tomcatThreadPool" namePrefix="catalina-exec-"
 maxThreads="150" minSpareThreads="4"/>
 -->
 
将上面内容修改为
<Executor
 name="tomcatThreadPool"
 namePrefix="catalina-exec-"
 maxThreads="500"
 minSpareThreads="30"
 maxIdleTime="60000"
 prestartminSpareThreads = "true"
 maxQueueSize = "100"
/>

参数解释
maxThreads:最大并发数,默认设置 200,一般建议在 500 ~ 800,根据硬件设施和业务来判断minSpareThreads:Tomcat 初始化时创建的线程数,默认设置 25
maxIdleTime:如果当前线程大于初始化线程,那空闲线程存活的时间,单位毫秒,默认60000=60秒=1分钟。
prestartminSpareThreads:在 Tomcat 初始化的时候就初始化 minSpareThreads 的参数值,如果不等于 true,minSpareThreads 的值就没啥效果了
maxQueueSize:最大的等待队列数,超过则拒绝请求

书单推荐

加入我的星球

下方查看历史文章

VulnHub之DC-1

VulnHub之DC-2

VulnHub之DC-3

VulnHub之DC-4

VulnHub之MuzzyBox

【工具分享】AWVS 12 汉化破解版

通达OA任意上传&文件包含漏洞复现

Windows基线检查(一)

Windows基线检查——剩余信息保护&服务安全

Linux基线检查

IIS7.0 基线检查

Apache 基线检查

扫描二维码

获取更多精彩

NowSec

NowSec
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
风险评估:Tomcat的安全配置,Tomcat安全基线检查加固
wangyuxiang946的博客
07-09 7601
Tomcat安全配置规范,基线加固,安全加固。
gmailc2:一款基于Google SMTP的完全无法检测的C2服务器
qq_53058639的博客
07-24 421
1、持久化;2、支持Shell访问;3、查看系统信息;4、…
Tomcat 安全基线检查
咻一咻的博客
05-20 1890
控制台弱密码检查 | 身份鉴别 描述 tomcat-manger是Tomcat提供的web应用热部署功能,该功能具有较高权限,会直接控制Tomcat应用,应尽量避免使用此功能。如有特殊需求,请务必确保为该功能配置了强口令 加固建议 编辑Tomcat根目录下的配置文件conf/tomcat-user.xml,修改user节点的password属性值为复杂密码, 密码应符合复杂性要求: 1、长度8位以上 2、包含以下四类字符中的三类字符: 英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字
Tomcat基线检查
gd0913的博客
04-20 1934
既无权访问非必须的文件,又不能执行非必须的程序 威胁等级:High 规则描述 缺省情况下,Java运行时根据运行它的用户授予安全权限。当Tomcat以系统管理员身份或作为系统服务运行时,Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来,Java运行时就取得了所有文件夹中所有文件的全部权限。并且Servlets(JSP在运行过程中要转换成Servlets)取得了同样的权限。所以Java代码可以调用Java SDK中的文件API列出文件夹中的全部文件,删除任何文件,最大的危险在于以系统权限运行
14-1 tomcat安全基线检查
weixin_43263566的博客
12-07 1576
Apache Tomcat 是一款广泛使用的开源Web应用服务器,它主要实现了Java Servlet、JavaServer Pages (JSP) 和 Java Expression Language 规范,使得开发者可以构建和部署由Java编写的Web应用程序。作为一个成熟且经过广泛测试的解决方案,Tomcat 在业界享有较高的声誉,特别是因为其对于Web应用的高效运行支持,即便是在性能相对有限的硬件平台上,也能保证良好的运行效率。
01-阿里云标准-Apache Tomcat 安全基线检查
03-25
阿里云标准-Apache Tomcat 安全基线检查 Apache Tomcat 是一个流行的开源Web服务器和Servlet容器,但是在实际应用中,如果不遵循安全基线,可能会导致安全隐患。阿里云标准-Apache Tomcat 安全基线检查旨在帮助用户...
主机、中间件基线检查.docx
09-09
文档标题“主机、中间件基线检查.docx”和描述提到了对Windows、Linux系统以及Tomcat中间件的基线安全检查。以下是对这些知识点的详细说明: **Windows安全基线检查:** 1. **自动登录设置**:通过运行`regedit`...
CIS-基线检查-sqlserver&oracle;&apache;&mongo;.zip
06-27
【CIS-基线检查-sqlserver&oracle;&apache;&mongo;.zip】是一个包含多个针对不同IT组件的基线检查指南的压缩包。这个压缩文件提供了来自"CIS"(网络安全和基础设施安全局)的权威标准,旨在确保数据库系统(如SQL ...
基线检查脚本Tomcat配置规范_(Windows).zip
10-08
基线检查脚本Tomcat配置规范_(Windows).zip
Tomcat完整检查表 安全基线
08-22
Tomcat完整检查表 安全基线
基线配置扫描脚本
04-07
基线配置扫描脚本:安全加固脚本,适合扫描主机,交换机,数据库,tomcat,weblogic等
tomcat配置自身错误页面
11-24
tomcat配置自身错误页面,直接替换tomcat本身的root文件夹即可。然后修改web.xml,具体方式详见:https://blog.csdn.net/f552126367/article/details/107999676
主机基线扫描脚本
09-30
linux,windows主机安全基线脚本,完善主机配置,避免入侵。
非常全的基线配置扫描脚本.zip
04-15
非常全面的基线检查脚本,包括:各类数据库、网络设备、中间件、操作系统等,非常全面的基线检查脚本
tomcat自检
m0_67402013的博客
04-27 146
#!/bin/bash # # /etc/rc.d/init.d/tomcat # init script for tomcat precesses # # processname: tomcat # description: tomcat is a j2se server # chkconfig: 2345 86 16 # description: Start up the Tomcat servlet engine. if [ -f /etc/init.d/functions ]; then
Tomcat 部署项目出错—之首要检查
无他, 但手熟尔
06-24 535
做好的项目 需要到 别人的机器 上 部署 测试下,在自己的机器 上没有任何问题,但在别人的机器上时,启动Tomcat出错,一开始以为是环境的事,弄了半天,还是不好,最后发现是Tomcat 目录下面有空格,Tomcat  空格,你害了多少人?   Tomcat  空格 Tomcat  空格 Tomcat  空格 Tomcat  空格 Tomcat  空格 Tomcat  空格 Tom
测试tomcat服务器性能,Tomcat 性能的测试
weixin_39665060的博客
08-06 2975
1、设置虚拟机使用内存的大小:JAVA_OPTS='-Xms【初始化内存大小】 -Xmx【可以使用的最大内存】-Xms JVM初始化堆的大小 -Xms JVM堆的最大值设置路径:Windows下,在文件{tomcat_home}/bin/catalina.bat Unix下,在文件{tomcat_home}/bin/catalina.sh的前面这两个值的大小一般根据需要进行设置。初始化堆的大小...
Tomcat Error listenerStart 终极大法
ronon77的专栏
05-15 156
Tomcat报的错太含糊了,什么错都没报出来,只提示了Error listenerStart。为了调试,我们要获得更详细的日志。可以在WEB-INF/classes目录下新建一个文件叫logging.properties,内容如下 Java代码 handlers = org.apache.juli.FileHandler, java.util.logging.ConsoleHan...
tomcat基线核查
最新发布
06-27
Tomcat 基线核查(Tomcat Baseline Check)通常是指对 Apache Tomcat 服务器进行定期的安全性和配置审计,以确保其运行在最佳实践和安全设置下。基线核查主要包括以下几个方面: 1. **版本管理**:确认Tomcat的版本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值