Linux安全加固之中间件Tomcat
Linux安全加固之中间件Tomcat
(注:皆为参考操作配置)
这次是tomcat的Linux加固,分为身份鉴别、访问控制、安全审计、资源控制和入侵防范5个方面
大部分加固基于xml配置文件进行修改,也应根据实际需求制定方案。
寻找配置文件目录,Linux可以用find /-name *tomcat* 即可。
0x00 身份鉴别
- 删除多余账号:
修改tomcat配置文件**/conf/tomcat-users.xml配置文件,删除与工作无关的帐号。
例如tomcat1与运行、维护等工作无关,删除帐号,注释如下行即可:
- 口令复杂度:
口令要求:长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。
修改tomcat配置文件***/conf/tomcat-users.xml配置文件
要求usr1密码必须满足复杂度要求。
- 不同用户不同账号:
应为两个或两个以上即为合理
修改tomcat配置文件***/conf/tomcat-users.xml配置文件,修改或添加帐号:
- 非root启动服务:
ps -ef | grep tomcat|grep -v “grep”
tomcat进程的启动用户应不为root
使用普通用户启动tomcat服务。
0x01 访问控制(留作自查)
最小特权:
编辑tomcat配置文件/conf/tomcat-user.xml配置文件,在配置文件
0x02 安全审计
编辑tomcat配置文件server.xml配置文件,在
classname: This MUSTbe set to org.apache.catalina.valves.AccessLogValve to use thedefault access log valve
翻译:这必须设置为org.apache.catalina.valves.AccessLogValve以使用默认访问日志阀
Directory:日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专门放置日志文件的,也可以修改为其他路径;
Prefix:这个是日志文件的名称前缀,日志名称为localhost_access_log.2008-10-22.txt,前面的前缀就是这个localhost_access_log。
Suffix: 文件后缀名。
Pattern:common方式时,将记录访问源IP、本地服务器IP、记录日志服务器IP、访问方式、发送字节数、本地接收端口、访问URL地址等相关信息在日志文件中。
resolveHosts:值为true时,tomcat会将这个服务器IP地址通过DNS转换为主机名,如果是false,就直接写服务器IP地址。
0x03 入侵防范
- HTTP加密协议
cat /tomcat/pat/to/path/conf/server.xml|sed ‘//d’|sed ‘/^$/d’|sed’//d’|sed ‘/^\s*$/d’|grep “keystoreFile”
(1)使用JDK自带的keytool工具生成一个证书:
$JAVA_HOME/bin/keytool -genkey –alias tomcat –keyalg RSA -keystore/path/to/my/keystore
其中目录:/path/to/my需要用户自行创建。
(2)修改tomcat安装目录下/conf/server.xml配置文件,更改为使用HTTPS方式,增加如下行:
其中keystorePass的值为生成keystore时输入的密码。
(3)重新启动tomcat服务
- 禁用非法HTTP请求方法
编辑web.xml文件
查看org.apache.catalina.servlets.DefaultServlet是否存在如下配置:
将false修改为true。readonly参数默认是true,即不允许delete和put操作。
0x04 资源控制
超时登出
单位是毫秒
/conf/server.xml配置文件,将connectionTimeout修改为30秒:错误页面重定向
(1) 编辑tomcat配置文件/conf/web.xml文件:
在最后一行之前加入以下内容:
第一个
第二个
<%@ pageerrorPage=”/error.jsp” %>
典型的error.jsp错误页面的程序写法如下:
<%@ pagecontentType=”text/html;charset=GB2312”%>
<%@ pageisErrorPage=”true”%>
出错了:
错误信息:<%= exception.getMessage() %>Stack Trace is :
- <%
java.io.CharArrayWritercw = new java.io.CharArrayWriter();
java.io.PrintWriterpw = new java.io.PrintWriter(cw,true);
exception.printStackTrace(pw);
out.println(cw.toString());
%>
当出现NullPointerException异常时tomcat会把网页导入到error.jsp,且会打印出出错信息。
重新启动tomcat服务
- 修改默认端口
修改tomcat配置文件server.xml配置文件,更改默认管理端口到非8080:
重新启动tomcat服务
- 禁止目录列出
编辑tomcat配置文件web.xml配置文件:listings true
把true改成false。
重新启动tomcat服务
防止恶意关闭服务
编辑tomcat配置文件conf/server.xml配置文件,
shutdown的值为复杂的字符串:连接数设置
编辑tomcat配置文件server.xml文件:
maxThreads=”150” 表示最多同时处理150个连接。
minSpareThreads=”25” 表示即使没有人使用也开这么多空线程等待。
maxSpareThreads=”75” 表示如果最多可以空75个线程。
acceptCount=”100” 当同时连接的人数达到maxThreads时,还可以接收排队的连接,超过这个连接的则直接返回拒绝连接。修改banner
修改/lib/catalina.jar中Serverinfo.properties问津中的以下参数(修改以掩饰真实版本信息):
server.info=X
server.build=BuildDate
server.number=X
posted on 2019-05-16 18:19 smile-you-me 阅读( …) 评论( …) 编辑 收藏
转载于
//www.cnblogs.com/smlile-you-me/p/10877246.html
港控/mmm°
冷不防
╰+哭是因爲堅強的太久メ
还没有评论,来说两句吧...