Tomcat中间件安全基线配置规范

本篇文章较长，但请各人耐性看完，事实是小编费劲心思总结的，并且小编信托这篇必定对各人是有一点辅佐的;好了，不打搅各人了，耐性看吧!

1. 用户账号与口令安详

修改默认账号口令

修改默认口令或禁用默认账号

参考设置操纵

编辑tomcat/conf/tomcat-user.xml设置文件，修改用户脚色权限

授权tomcat具有长途打点权限：

<user username=”tomcat” password=”强健的口令”  
roles=”admin,manager”> 

增补操纵声名

“强健的口令”要求为口令长度至少8位，并包罗数字、小写字母、大写字母和非凡标记4类中至少2类。

Tomcat 4.x和5.x版本用户脚色分为：role1，tomcat，admin，manager四种。

1. role1：具有读权限;
2. tomcat：具有读和运行权限;
3. admin：具有读、运行和写权限;
4. manager：具有长途打点权限。

Tomcat 6.0.18版本只有admin和manager两种用户脚色，且admin用户具有manager打点权限。

Tomcat 4.1.37和5.5.27版本及往后刊行的版本默认除admin用户外其他用户都不具有manager打点权限。

鉴定前提

修改后的账号可以登录Tomcat Web处事器为正常。

检测操纵

会见http://ip:8080/manager/html打点页面，举办Tomcat处事器打点。

2.优化WEB处事账号

配置shutdown为伟大的字符串，防备恶意用户telnet到8005端口后，发送SHUTDOWN呼吁遏制Tomcat处事。

参考设置操纵

打开Tomcat_home/conf/server.xml，配置shutdown为伟大的字符串。

<Server port="8005" shutdown="伟大字符不要包罗非凡字符，如：冒号、分号、引号等。

鉴定前提

查察Tomcat_home/conf/server.xml设置文件

<Server port="8005" shutdown="伟大的字符串">

3.日记与审计

增进会见日记审计，记录错误信息和会见信息。

参考设置操纵

编辑server.xml设置文件，在标签中增进记录日记成果。

将以下内容的注释标志< ! -- -- >打消

<valve classname=”org.apache.catalina.valves.AccessLogValve”Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt”  
Pattern=”common” resloveHosts=”false”/> 

增补操纵声名

classname: This MUST be set to 
org.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60 

Directory:日记文件安排的目次，在tomcat下面有个logs文件夹，那内里是专门安排日记文件的，也可以修改为其他路径;

Prefix: 这个是日记文件的名称前缀，日记名称为localhost_access_log.2008-10-22.txt，前面的前缀就是这个localhost_access_log

Suffix: 文件后缀名

Pattern: common方法时，将记录会见源IP、当地处事器IP、记录日记处事器IP、会见方法、发送字节数、当地吸取端口、会见URL地点等相干信息在日记文件中

resolveHosts:值为true时，tomcat会将这个处事器IP地点通过DNS转换为主机名，假如是false，就直接写处事器IP地点

鉴定前提

查察logs目次中相干日记文件内容，记录完备

检测操纵

查察localhost_access_log.2018-10-22.log中相干日记记录

4.安详防护

潜匿Tomcat表现版本信息

参考设置操纵

a.解压catalina.jar

cd {Tomcat_home}/server/lib 【4.x】 
cd {tomcat_home}/lib【5.5以上】 
jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties 

b.修改server.info行，修改相干的版本信息：server.info=Apache Tomcat

c.从头压缩catalina.jar

jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties 

鉴定前提

Telent ip :80 端口

执行get head查察是否包括版本信息

5.榨取目次遍历

修改参数文件，榨取目次遍历。

参考设置操纵

(1) 编辑tomcat/conf/web.xml设置文件，

<init-param> 
<param-name>listings</param-name> 
<param-value>true</param-value> 
</init-param> 

把true改成false

(2)从头启动tomcat处事

鉴定前提

当WEB目次中没有默认首页如index.html,index.jsp等文件时，不会列出目次内容

检测操纵

直接会见http://ip:8800/webadd

6.错误信息自界说

修改错误文件信息内容,防备信息走漏

参考设置操纵

(1)设置tomcat/conf/web.xml文件:

在最后一行之前插手以下内容：

<error-page> 
<error-code>404</error-code> 
<location>/noFile.htm</location> 
</error-page> 
…………… 
<error-page> 
<exception-type>java.lang.NullPointerException</exception-type> 
<location>/error.jsp</location> 
</error-page> 

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!