Tomcat中間件安全技術(shù)概述_第1頁
Tomcat中間件安全技術(shù)概述_第2頁
Tomcat中間件安全技術(shù)概述_第3頁
Tomcat中間件安全技術(shù)概述_第4頁
Tomcat中間件安全技術(shù)概述_第5頁
已閱讀5頁,還剩18頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、Tomcat中間件安全技術(shù)概述技術(shù)創(chuàng)新 變革未來4.1.3 tomcatTomcat 服務(wù)器的安全設(shè)置 Tomcat 服務(wù)器的日志審計(jì)方法Tomcat 服務(wù)器的安全設(shè)置 了解 Tomcat 服務(wù)器啟動(dòng)的權(quán)限 了解 Tomcat 服務(wù)器后臺管理地址和修改管理賬號密碼的方法 了解隱藏 Tomcat 版本信息的方法 了解如何關(guān)閉不必要的接口和功能 了解如何禁止目錄列表,防止文件名泄露 掌握 Tomcat 服務(wù)器通過后臺獲取權(quán)限的方法 掌握 Tomcat 樣例目錄 session 操縱漏洞 Tomcat 服務(wù)器的安全設(shè)置 Tomcat 是一個(gè)小型的輕量級應(yīng)用服務(wù)器,在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的

2、場合下被普遍使用,是開發(fā)和調(diào)試 JSP 程序的首選。 Tomcat 服務(wù)器的安全設(shè)置 了解 Tomcat 服務(wù)器啟動(dòng)的權(quán)限 1、tomcat啟動(dòng)用戶權(quán)限必須為非root權(quán)限,盡量降低tomcat啟動(dòng)用戶的目錄訪問權(quán)限;2、如需直接對外使用80端口,可通過普通賬號啟動(dòng)后,配置iptables規(guī)則進(jìn)行轉(zhuǎn)發(fā)。備注:避免一旦tomcat服務(wù)被入侵,黑客直接獲取高級用戶權(quán)限危害整個(gè)server的安全。基于安全考慮,將tomcat的使用權(quán)限賦給admin組,admin用戶,只要設(shè)置到這個(gè)組中,即可以直接使用tomcat。這樣一來可以防止用戶誤刪系統(tǒng)或其他用戶的文件;二來即使tomcat中的項(xiàng)目有漏洞遭到攻

3、擊,也不至于破壞系統(tǒng)。chown -R admin.admin tomcatTomcat 服務(wù)器的安全設(shè)置 了解 Tomcat 服務(wù)器啟動(dòng)的權(quán)限 設(shè)置啟動(dòng)腳本IIS 服務(wù)器的安全設(shè)置了解 Tomcat 服務(wù)器后臺管理地址和修改管理賬號密碼的方法tomcat服務(wù)器http:/localhost:8080/這樣訪問,點(diǎn)擊Manager App后要求輸入用戶名和密碼才能進(jìn)入管理應(yīng)用界面IIS 服務(wù)器的安全設(shè)置了解 Tomcat 服務(wù)器后臺管理地址和修改管理賬號密碼的方法彈出打開tomcat-users.xml這個(gè)文件 進(jìn)行如下配置 在節(jié)點(diǎn)的前面IIS 服務(wù)器的安全設(shè)置了解 Tomcat 服務(wù)器后臺管

4、理地址和修改管理賬號密碼的方法進(jìn)行這樣的配置后保存,重啟tomcat服務(wù)器再進(jìn)行訪問http:/localhost:8080/點(diǎn)擊Manager App后輸入用戶名為admin和密碼為admin即可進(jìn)入管理應(yīng)用界面Tomcat服務(wù)器的安全設(shè)置了解隱藏 Tomcat 版本信息的方法 1 、首先備份tomcat2、進(jìn)入tomcat的lib目錄找到catalina.jar文件3、unzip catalina.jar之后會(huì)多出兩個(gè)文件夾 4、 編輯配置文件ServerIperties Tomcat服務(wù)器的安全設(shè)置了解隱藏 Tomcat 版本信息的方法 5、編輯配置文件ServerIperties6、將

5、修改后的信息壓縮回jar包jar uvf catalina.jar org/apache/catalina/util/ServerIperties 7.重啟服務(wù) Tomcat服務(wù)器的安全設(shè)置了解如何關(guān)閉不必要的接口和功能 禁用管理端1、刪除默認(rèn)的Tomcat安裝目錄/conf/tomcat-users.xml文件,重啟tomcat后會(huì)自動(dòng)生成新的文件;2、刪除Tomcat安裝目錄/webapps下默認(rèn)的所有目錄和文件;3、將tomcat應(yīng)用根目錄配置為tomcat安裝目錄以外的目錄。配置樣例:備注:對于前端web模塊,Tomcat管理端屬于tomcat的高危安全隱患,一旦被攻破,黑客通過上傳w

6、eb shell的方式將會(huì)直接取得服務(wù)器的控制權(quán),后果極其嚴(yán)重 Tomcat服務(wù)器的安全設(shè)置了解如何關(guān)閉不必要的接口和功能 telent管理端口保護(hù)1、修改默認(rèn)的8005管理端口為不宜猜測的端口(需要大于1024);2、修改SHUTDOWN指令為其他字符串。配置樣例:備注:以上配置想的配置內(nèi)容只是建議配置,可以按照服務(wù)實(shí)際情況進(jìn)行合理配置,但要求端口配置在80008999之間Tomcat服務(wù)器的安全設(shè)置了解如何關(guān)閉不必要的接口和功能 ajp連接端口保護(hù)1、修改默認(rèn)的ajp的8009端口為不以沖突的大于1024的端口;2、通過iptables規(guī)則限制ajp端口的訪問權(quán)限僅為線上機(jī)器。配置樣例:備

7、注:以上配置項(xiàng)的配置內(nèi)容僅為建議配置,請按照服務(wù)實(shí)際情況進(jìn)行合理配置,但是要求端口配置在80008999之間;保護(hù)此端口的目的在于防止線下的測試流量被mod_jk。Tomcat服務(wù)器的安全設(shè)置了解如何禁止目錄列表,防止文件名泄露 文件列表訪問控制1、conf/web.xml文件中default部分listings的配置必須為false。配置樣例:listingsfalse備注:false為不列出目錄文件,true為允許列出,默認(rèn)為false Tomcat服務(wù)器的安全設(shè)置掌握 Tomcat 服務(wù)器通過后臺獲取權(quán)限的方法 .利用Tomcat管理后臺配置弱點(diǎn)滲透網(wǎng)站實(shí)例Tomcat 默認(rèn)存在一個(gè)管理

8、后臺,默認(rèn)的管理地址是http:/IP或域名:端口號/manager/html。通過此后臺,可以在不重啟Tomcat服務(wù)的情況 下方便地部署、啟動(dòng)、停止或卸載WEB應(yīng)用。但是,如果配置不當(dāng)?shù)脑捑痛嬖诤艽蟮陌踩[患。/s/eD8B3yCqP38KN8tEd9p7KgTomcat服務(wù)器的安全設(shè)置掌握 Tomcat 樣例目錄 session 操縱漏洞 Apache Tomcat默認(rèn)安裝包含”/examples”目錄,里面存著眾多的樣例,其中session樣例(/examples/servlets /servlet/SessionExample)允許用戶對session進(jìn)行操縱。因?yàn)閟ession是全

9、局通用的,所以用戶可以通過操縱 session獲取管理員權(quán)限。/post-446.htmlTomcat 服務(wù)器的日志審計(jì)方法 了解 Tomcat 的日志種類 Cataline引擎的日志文件,文件名catalina.日期.logTomcat下內(nèi)部代碼丟出的日志,文件名localhost.日期.log(jsp頁面內(nèi)部錯(cuò)誤的異常,org.apache.jasper.runtime.HttpJspBase.service類丟出的,日志信息就在該文件?。㏕omcat下默認(rèn)manager應(yīng)用日志,文件名manager.日期.log控制臺輸出的日志,Linux下默認(rèn)重定向到catalina.outAcces

10、s日志(Servlet.xml配置)應(yīng)用程序通過perties:$catalina.base/logs/probe.log重定向過來的日志Tomcat 服務(wù)器的日志審計(jì)方法 了解 Tomcat 的日志種類 Tomcat使用的日志配置文件:$CATALINA_BASE/conf/pertiesTomcat 服務(wù)器的日志審計(jì)方法掌握 Tomcat 日志的審計(jì)方法 pattern表示日志生產(chǎn)的格式,common是tomcat提供的一個(gè)標(biāo)準(zhǔn)設(shè)置格式。其具體的表達(dá)式為 %h %l %u %t %r %s %b 但本人建議采用以下具體的配置,因?yàn)闃?biāo)準(zhǔn)配置有一些重要的日志數(shù)據(jù)無法生。 %h %l %u %t

11、 %r %s %b %T具體的日志產(chǎn)生樣式說明如下(從官方文檔中摘錄):Tomcat 服務(wù)器的日志審計(jì)方法掌握 Tomcat 日志的審計(jì)方法 * %h 訪問的用戶IP地址 * %l 訪問邏輯用戶名,通常返回- * %u 訪問驗(yàn)證用戶名,通常返回- * %t 訪問日時(shí) * %r 訪問的方式(post或者是get),訪問的資源和使用的http協(xié)議版本 * %s 訪問返回的http狀態(tài) * %b 訪問資源返回的流量 * %T 訪問所使用的時(shí)間有了這些數(shù)據(jù),我們可以根據(jù)時(shí)間段做以下的分析處理 * 獨(dú)立IP數(shù)統(tǒng)計(jì) * 訪問請求數(shù)統(tǒng)計(jì) * 訪問資料文件數(shù)統(tǒng)計(jì) * 訪問流量統(tǒng)計(jì) * 訪問處理響應(yīng)時(shí)間統(tǒng)計(jì) * 統(tǒng)計(jì)所有404錯(cuò)誤頁面 * 統(tǒng)計(jì)所有500錯(cuò)誤的頁面 * 統(tǒng)計(jì)訪問最頻繁頁面 * 統(tǒng)計(jì)訪問處理時(shí)間最久頁面 * 統(tǒng)計(jì)并發(fā)訪問頻率最高的頁面Tomcat 總結(jié) 知識子域:Tomcat 服務(wù)器的安全設(shè)置 了解 Tomcat 服務(wù)器啟動(dòng)的權(quán)限 了解 Tomcat 服務(wù)器后臺管理地址和

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論