一、Tomcat 服务器的安全设置
1、Tomcat简单介绍:
Tomcat 是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开放和调试Jsp 程序的首选。
2、Tomcat 服务器启动的权限
- tomcat启动用户权限必须为非root权限,尽量减低tomcat启动用户的目录访问权限。
- 如需直接对外使用80端口,可通过普通账户启动后,配置iptables 规则进行转发。
- 设置启动脚本
3、Tomcat 服务器后台管理地址和修改管理帐号密码的方法
打开tomcat-users.xml 文件,进行如下配置。
进行配置后保存,重启服务器。再进行访问就可以了。
点击manager app 后输入帐号密码就可以进去了。
4、隐藏Tomcat 版本信息的方法
- 首先备份tomcat
- 进入tomcat的lib目录找到catalina.jar文件
- upzip catalina.jar 之后会多出两个目录
- cd org/apache/catalina/util 编辑配置文件serverlfo.properties
- 编辑配置文件serverinfo.properties
- 将修改后的信息压缩回jar包
jar uvf catalina.jar org/apache/catalina/util/serverinfo.properties
- 重启服务
5、关闭不必要的接口和功能
- 禁用管理端
对于前段web模块,tomcat管理段属于tomcat的高危安全隐患,一旦被黑客攻破上传websehll 将会导致严重的后果。
1、删除默认的{tomcat安装目录} /conf/tomcat-users.xml,重启tomcat后会自动生成新的文件。
2、删除{tomcat安装目录} /webapp下默认的所有目录和文件。
3、将tomcat应用根目录配置为tomcat安装目录以外的目录。
配置样例:
- telnet管理端口保护
使用telnet连接进来可以输入SHUTDOWN可以直接关闭tomcat,极不安全,必须关闭。可以修改默认的管理端口8005改为其他端口(端口要在8000-8999之间),修改SHUTDOWN指令为其他字符串。
# vi conf/server.xml
<Server port="8365" shutdown="IN0IT">
- AJP连接端口保护
Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。默认情况下,Tomcat在server.xml中配置了两种连接器,一种使用ajp,要和apache结合使用,一种使用http。当使用http时,可以限制ajp端口访问,在于防止线下测试流量被mod_jk转发至线上tomcat服务器。可以通过iptables规则限制ajp端口的访问,或者直接将改行注释。
# vim conf/server.xml
<!--<Connector port="8329" protocol="AJP/1.3" redirectPort="8443" />-->
- 文件列表访问控制
conf/web.xml文件中的default部分listings的配置必须为false,false为不列出目录文件,true为允许列出,默认为false。
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
二、tomcat 服务器的日志审计方法
1、tomcat 的日志种类
2、tomcat 日志的审计方法