【中间件安全】Tomcat 安全加固规范

最新推荐文章于 2022-06-01 11:02:51 发布
最新推荐文章于 2022-06-01 11:02:51 发布
阅读量382 收藏 3
点赞数
分类专栏: 安全基线
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45492773/article/details/100766647
版权

1.适用情况

适用于使用Tomcat进行部署的Web网站。

2.技能要求

熟悉Tomcat配置操作,能够利用Tomcat进行建站,并能针对站点使用Tomcat进行安全加固。

3.前置条件

1、根据站点开放端口,进程ID,进程名称,确认站点采用Tomcat进行部署;
2、找到Tomcat路径:
方法一:开始->所有程序>Apache Tomcat->打开文件位置
方法二:window直接搜索Tomcat
方法三:任务管理器->进程->tomcat进程->打开文件位置
方法四:D盾->工具->进程查看->tomcat进程->打开文件位置
方法五:适用linux:切换到根路径,搜索find-name*jsp-print(方法同样适用查找网站根目录)

4.详细操作

注意:建议实施项需要检查,询问管理员后方可配置,建议让管理员自行配置,实施项为必做加固项。Tomcat控制台必须确定是否对外开放,是否有远程管理权限账号:1、mageger文件夹是否存在;2、tomcat账号是否可登陆。

4.1Tomcat控制台用户配置

备份配置文件,修改tomcat/conf/tomcat-user.xml配置文件,将账号进行注释,若业务系统需要使用tomcat管理后台进行业务代码发布和管理,建议修改默认admin用户,且密码长度不低于10位,必须包含大写字母、特殊符号、数字组合,如下:
在这里插入图片描述

4.2日志审计

备份配置文件,参考配置操作
编辑tomcat/conf/server.xml配置文件,在标签中增加记录日志功能将以下内容的注释标记取消
<valve classname="org.apache.catalina.valves.AccessLogValve"Directory=“logs”
prefix="localhost_access log."suffix="txt"Pattern="common"resloveHosts=“false”/>

4.3自定义404错误页面

(1)在网站根目录新建noFile.htm文件
(2)查看并启用tomcat/conf/web.xml文件中下列代码:

<error-page>
<error-code>404</error-code>
<location>/noFile.htm</location>
</error-page>

4.4最佳经验实践

因tomcat配置不当,可能导致的安全问题,常见安全漏洞如:目录浏览、webdav等

4.4.1关闭目录浏览

(1)编辑tomcat/conf/web.xml配置文件,

<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
</init-param>

把true改成false
(2)重新启动tomcat服务

4.4.2使用安全的HTTP请求

编辑tomcat/conf/web.xml配置文件,添加或修改文件如下所示:

<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>

4.4.3限制IP访问

打开tomcat/conf/server.xml,添加下面一行,重启服务器即可:<value className="org apache.catalina.values.RemoteAddrValue"allow=“127.0.0.1deny=”/>
此行放在之前,只允许本地访问。
例如:
1.只允许192.168.1.1访问:

<value className="org.apache.catalina.values.RemoteAddrValue"allow="192.168.1.1"deny=""/>

1.只允许192.168.1.0/24访问

<value className="org,apache.catalina.values.RemoteAddrValue"allow="192.168.1.*"deny="/>

4.4.4登陆超时退出

备份配置文件,参考配置操作
编辑tomcat/conf/server.xml配置文件,修改超时时间为300秒

<Connector port="8080"maxHttpHeadSize="25"maxSpare Threads="75"enablelookups="false"
redirectPort="8443"acceptCount="100"connectionTimeout="300"disableUploadTimeout="true'/>

4.5风险操作项

4.5.1更改默认端口

(1)修改tomcat/conf/server.xml配置文件,更改默认管理端口到8888

<Connector port="8888"maxHttpHeaderSize="8192"maxThreads="150"
minSpareThreads="25"maxSpareThreads="75"、enableLookups="false'redirectPort="8443"acceptCount="100"
connectionTimeout=*300"disableUploadTimeout="true"/>

(2)重启tomcat 服务

4.5.2补丁更新

根据tomcat版本漏洞库查询是否存在漏洞,如果存在漏洞请在http:/htpd.tomcat.org下载最新稳定版安装

-Yanug-
关注
专栏目录
中间件加固方案.pdf
10-10
好多系统需要做安全评测,针对使用的中间件产品需要进行加固处理,总结的常见加固策略供参考,具体还以自己的测试要求为准
中间件安全Tomcat 安全加固规范.pdf
03-15
中间件安全Tomcat 安全加固规范
TOMCAT 中间件安全加固
单核CPU的小朋友的博客
04-28 1973
TOMCAT 中间件安全加固 1、 tomcat中间件安装: yum install httpd* -y yum install tomcat* -y 然后就能看到系统中多出了个端口: 其中8005端口是管理口,8080是默认的tomcat页面 我们可以通过访问本地8080口来判断服务是否安装成功 其中下文会详细介绍如何更改tomcat的管理口和页面显示端口。 其中, Tomcat配置文件...
tomcat中间件安全与加固
旺仔Sec&blog
12-22 1151
任务四:tomcat中间件安全与加固 任务环境说明: 服务器场景名称:w-win7 服务器场景用户名:administrator;密码:未知(开放链接) 渗透机场景:kali 渗透机用户名:root,密码:toor 通过渗透机场景kali中的工具对web服务器进行扫描,浏览web服务器网页,在首页中找到tomcat服务版本号,并将其版本号作为flag提交; Flag:7.0.79 已知此版本的tomcat具有上传漏洞,即向页面提交发送请求就会生成对应的文件。利用Burp Suite工具进行抓包,
中间件安全】Nginx 安全加固规范
12-14 5344
1. 适用情况 适用于使用Nginx进行部署的Web网站。 2. 技能要求 熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固。 3. 前置条件 1、 根据站点开放端口,进程ID,确认站点采用Nginx进行部署; 2、 找到Nginx安装目录,针对具体站点对配置文件进行修改; 3、 在执行过程中若有任何疑问或建议,应及时反馈。 4. 详细操作 4....
tomcat安全加固手册
最新发布
05-09
### Tomcat安全加固手册知识点详解 #### 一、Tomcat简介与重要性 Tomcat作为Apache软件基金会(Apache Software Foundation)Jakarta项目的核心组件之一,由Apache、Sun及其他多个机构和个人共同开发完成。得益于...
[ 安全加固基线规范 ] 中间件安全配置基线.rar
02-11
[ 安全加固基线规范 ] 中间件安全配置基线 包含如下文档 Apache服务器安全配置基线,doc BIND安全配置基线.doc Domino服务器安全配置基线.doc IIS服务器安全配置基线.doc JBOSS服务器安全配置基线.doc Tomcat Web...
精品推荐-2024网络安全&数据安全加固类资料合集(36份).zip
03-23
Tomcat系统安全加固规范 WebLogic、WebSphere系统安全加固规范 Windows主机操作系统安全加固规范 三、安全基线 IIS安全基线 MySQL数据库安全基线 NginX安全基线 SQL-Server数据库安全基线 Tomcat安全基线 操作系统...
操作系统中间件数据库安全加固.pptx
06-19
本PPT介绍了主流操作系统WINDOWS.LINIUX.主流数据库oracel mysql,主流中间件tomcat\websphere等的加固策略和应急响应策略
基线检查及部分中间件部署规范.pdf
03-27
基线检查及部分中间件部署规范: 大致内容如下: Centos7安全基线 Windows2012安全基线 MSSQL2016部署规范 MYSQL5.6部署规范 部分中间件部署规范: - Nginx - Tomcat - Apache - IIS - Redis - Rabbit
常用的中间件标准
06-15
常用的中间件标准
中间件安全加固-----apache、nginx的安全配置
m_ing
07-24 2005
前言:Web 服务器是 Web 应用的载体,如果这个载体出现安全问题,那么运行在其中的 Web 应用程序的安全也无法得到保障。因此 Web 服务器的安全不容忽视 纵观 Apache 的漏洞史,它曾经出现过许多次高危漏洞。但这些高危 漏洞,大部分是由 Apache 的 Module 造成的,Apache 核心的高危漏洞几乎没有。Apache 有很多官方与非官方的 Module,默认启动的 Module 出现过的高危漏洞非常少,大多数的高危漏洞集中在默认没有安装或 enable 的 Module 上 apac
中间件安全】IIS7.0 安全加固规范
12-14 6903
1. 适用情况 适用于使用IIS7进行部署的Web网站。 2. 技能要求 熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固。 3. 前置条件 1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署; 2、 启用IIS 方法一:按Win键+R打开Windows运行,输入inetmgr,回车即可打开; 方法二:开始-&gt;管理工具-&gt;Inte...
14、中间件加固
weixin_42974824的博客
06-01 1649
中间件加固
Tomcat安全加固关键操作:用户管理与审计设置
本文档是一份详细的Tomcat安全加固操作清单,旨在提升Apache Tomcat服务器的安全性,确保Web应用程序免受潜在威胁。以下是其中涉及的主要知识点: 1. 用户身份验证: - 在`conf/tomcat-users.xml`文件中,强制实施...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值