Tomcat 服务器的安全设置

最新推荐文章于 2024-05-18 09:19:09 发布
最新推荐文章于 2024-05-18 09:19:09 发布
阅读量592 收藏 1
点赞数
分类专栏: 中间件安全 文章标签: tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42918771/article/details/104806093
版权

一、Tomcat 服务器的安全设置

1、Tomcat简单介绍:

Tomcat 是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开放和调试Jsp 程序的首选。

2、Tomcat 服务器启动的权限
  • tomcat启动用户权限必须为非root权限,尽量减低tomcat启动用户的目录访问权限。
  • 如需直接对外使用80端口,可通过普通账户启动后,配置iptables 规则进行转发。
  • 设置启动脚本
3、Tomcat 服务器后台管理地址和修改管理帐号密码的方法

打开tomcat-users.xml 文件,进行如下配置。
在这里插入图片描述进行配置后保存,重启服务器。再进行访问就可以了。
在这里插入图片描述点击manager app 后输入帐号密码就可以进去了。在这里插入图片描述

4、隐藏Tomcat 版本信息的方法
  • 首先备份tomcat
  • 进入tomcat的lib目录找到catalina.jar文件
  • upzip catalina.jar 之后会多出两个目录
  • cd org/apache/catalina/util 编辑配置文件serverlfo.properties
  • 编辑配置文件serverinfo.properties
  • 将修改后的信息压缩回jar包 jar uvf catalina.jar org/apache/catalina/util/serverinfo.properties
  • 重启服务
5、关闭不必要的接口和功能
- 禁用管理端

对于前段web模块,tomcat管理段属于tomcat的高危安全隐患,一旦被黑客攻破上传websehll 将会导致严重的后果。

1、删除默认的{tomcat安装目录} /conf/tomcat-users.xml,重启tomcat后会自动生成新的文件。
2、删除{tomcat安装目录} /webapp下默认的所有目录和文件。
3、将tomcat应用根目录配置为tomcat安装目录以外的目录。
配置样例:
在这里插入图片描述

- telnet管理端口保护

使用telnet连接进来可以输入SHUTDOWN可以直接关闭tomcat,极不安全,必须关闭。可以修改默认的管理端口8005改为其他端口(端口要在8000-8999之间),修改SHUTDOWN指令为其他字符串。

# vi conf/server.xml
<Server port="8365" shutdown="IN0IT">
- AJP连接端口保护

Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。默认情况下,Tomcat在server.xml中配置了两种连接器,一种使用ajp,要和apache结合使用,一种使用http。当使用http时,可以限制ajp端口访问,在于防止线下测试流量被mod_jk转发至线上tomcat服务器。可以通过iptables规则限制ajp端口的访问,或者直接将改行注释。

# vim conf/server.xml
    <!--<Connector port="8329" protocol="AJP/1.3" redirectPort="8443" />-->
- 文件列表访问控制

conf/web.xml文件中的default部分listings的配置必须为false,false为不列出目录文件,true为允许列出,默认为false。

<init-param>
      <param-name>listings</param-name>
      <param-value>false</param-value>
</init-param>

二、tomcat 服务器的日志审计方法

1、tomcat 的日志种类

在这里插入图片描述
在这里插入图片描述

2、tomcat 日志的审计方法

在这里插入图片描述
在这里插入图片描述

BeretSEC
关注
专栏目录
14-1 tomcat安全基线检查
weixin_43263566的博客
12-07 1604
Apache Tomcat 是一款广泛使用的开源Web应用服务器,它主要实现了Java Servlet、JavaServer Pages (JSP) 和 Java Expression Language 规范,使得开发者可以构建和部署由Java编写的Web应用程序。作为一个成熟且经过广泛测试的解决方案,Tomcat 在业界享有较高的声誉,特别是因为其对于Web应用的高效运行支持,即便是在性能相对有限的硬件平台上,也能保证良好的运行效率。
《网络安全自学教程》- Tomcat基线检查加固
最新发布
wangyuxiang946的博客
07-09 7736
Tomcat安全配置规范,基线加固,安全加固。
Apache Tomcat九项安全加固标准配置(阿里云标准安全基线检查)
chaishen10000的专栏
05-13 4351
一、开启日志记录 | 安全审计 描述 Tomcat需要保存输出日志,以便于排除错误和发生安全事件时,进行分析和定位 检查提示 – 加固建议 1、修改Tomcat根目录下的conf/server.xml文件。 2、取消Host节点下Valve节点的注释(如没有则添加)。 <Valve className=“org.apache.catalina.valves.AccessLogValve” directory=“logs” prefix=“localhost_access_log” suffix=".t
Tomcat服务器 安全设置
上班搞IT,下班搞ITF。
11-04 1268
 tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。另外,由于其功能比较单纯需要我们进一步地进行设置。本机将从安全和功能两方面谈谈基于Tomcat的Web服务器的部署,希望对大家有所帮助。  环境描述  OS:Windows Server 2003  IP:192
Tomcat安全配置
huike008的博客
09-22 284
tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。 0x00 测试环境 Win2003 Tomcat6.0.18 安装版 0x01 安全验证 一.登陆后台 首先在win2003上部署Tomcat,一切保持默认。 Tomcat的默认后台地址为:http...
Tomcat 部署安全性配置
ice_bird的专栏
02-17 1356
Tomcat 部署安全性配置,修改配置前做好备份记录!修改配置前做好备份记录!修改配置前做好备份记录! 开启日志记录,以便于排除错误和发生安全事件时,进行分析和定位 1、修改Tomcat根目录下的conf/server.xml文件。 2、取消Host节点下Valve节点的注释(如没有则添加)。 <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_acces
Tomcat安全配置
得已
05-16 1511
安全是系统架构中最重要的关注点之一,通常情况下,所说的安全涵盖网络安全、数据安全、操作系统安全服务器安全以及应用系统安全等诸多方面。Tomcat 是一个免费的开放源代码 的Web应用服务器,技术先进、性能稳定。由于它优秀的稳定性以及丰富的文档资料,广泛的使用人群,从而在开源领域受到广泛的青睐,因此,Tomcat安全也越来越受到重视。 Tomcat作为一款应用服务器,默认情况下可以满足多数场景的安全需求,但是在安全要求较高的情况下,仍需要从多个方面进行配置,已防止Tomcat管理后台被攻击等风险。Tomc
tomcat服务器安全设置方法
09-29
Tomcat服务器安全设置方法涉及多方面,目的是降低被攻击的风险、增强系统的安全性。首先,Tomcat是一个支持Servlet和Java Server Pages (JSP)技术的HTTP服务器,它为开发者提供了一个可扩展的平台来部署Web应用程序...
Tomcat服务器 安全设置第1/3页
09-30
Tomcat服务器安全设置Tomcat作为一款广泛应用的开源Web服务器,因其高效稳定而深受开发者喜爱。然而,如同任何软件一样,Tomcat在默认配置下可能存在一些安全隐患,这些漏洞可能会被恶意攻击者利用。为了确保...
Tomcat服务器安全设置
02-21
本机将从安全和功能两方面谈谈基于Tomcat的Web服务器的部署,希望对大家有所帮助。环境描述OS:WindowsServer2003IP:192.168.1.12Tomcat:6.0.181、安全测试(1).登录后台在WindowsServer2003上部署Tomcat,一切保持...
java安全设置_Tomcat服务器安全设置
weixin_34854288的博客
02-19 179
然后修改Tomcat安装文件夹的访问权限,为Tomcat_lw赋予Tomcat文件夹的读、写、执行的访问权限,赋予Tomcat_lw对WebApps文件夹的只读访问权限,如果某些Web应用程序需要写访问权限,单独为其授予对那个文件夹的写访问权限。 “开始→运行”,输入services.msc打开服务管理器,找到Apache Tomcat服务,双击打开该服务,在其实属性窗口中点击“登录”选项卡,在登...
apache 和 Tomcat 安全性配置
weixin_30748995的博客
05-15 152
Apache 和 Tomcat是我们平时使用比较多的两个Web服务器,本文收集一些关于这两个服务器安全性配置的方法和技巧。另外安全是相对的,需要服务器安全、数据库安全、应用程序安全互相配合。仅从服务器配置上只能在某些方面提高系统的安全性。 Apache安全配置 1、 隐藏或伪装apache版本号 打乱攻击者的步骤,给攻击者带来麻烦。一般软件的漏洞信息是和版本相关的,在攻击者...
tomcat WEB容器安全设置
张亮的博客
07-12 1709
服务器安全配置参考 2.1) Apache Tomcat 删除Tomcat的Manager控制台软件 删除{Tomcat安装目录}\webapps\manager文件夹 如无法做到删除,参考以下步骤检查弱口令: 操作目的 检查Tomcat弱口令 检查方法 打开Tomcat_hom
Tomcat安全设置规范
weixin_45758890的博客
04-23 1587
1、版本安全 定期升级到最新稳定版,但不建议进行跨版本升级。 2、服务降权 不使用root用户启动tomcat,使用用普通用户启动Tomcat。 3、telnet服务端口保护 更改tomcat管理端口8005为不易猜测端口,但要求端口配置在8000~8999之间,并更改shutdown执行的命令,shutdown命令可通过telnet远程对服务进行关闭,有一定的风险。 ...
【系统安全】Apache Tomcat默认安装后Web目录下存在servlets 和 JSP 的示例文件。攻击者可利用此文件操作 Sessions和Cookie。
Tastill的博客
01-14 1631
参考文章:https://blog.csdn.net/weixin_43837718/article/details/98726253
tomcat日志配置详解(避免日志过多撑爆磁盘)
oopxiajun博客专栏
05-26 8538
一,tomcat日志配置 tomcat 对应日志的配置文件:tomcat目录下的/conf/logging.properties。 # Licensed to the Apache Software Foundation (ASF) under one or more # contributor license agreements. See the NOTICE file distributed with # this work for additional information regard.
有关设备和中间件未启用安全审计功能,未对重要用户行为、安全事件进行审计
u014196765的博客
05-18 307
有关设备和中间件未启用安全审计功能,未对重要用户行为、安全事件进行审计 建议启用设备或系统的安全审计功能,设置合理的安全审计规则。审计范围应覆盖所有用户,审计内容或事项应包括重要的用户行为和重要安全事件。
tomcat日志记录有哪些?
weixin_44943389的博客
07-20 2310
这些日志包含有关请求的详细信息,如客户端 IP 地址、请求的时间戳、请求方法、请求的 URL、HTTP 状态码等。Catalina 日志(Catalina Logs):记录 Tomcat 服务器的启动、关闭以及关键组件(如 Servlet、过滤器等)的初始化和销毁过程。应用程序日志(Application Logs):这些日志由部署在 Tomcat 上的应用程序生成,用于记录应用程序自身的日志信息。这些日志包含有关错误的详细信息,如错误的时间戳、错误类型、异常堆栈跟踪等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值