Tomcat中间件安全基线配置规范
副问题[/!--empirenews.page--]
本篇文章较长,但请各人耐性看完,事实是小编费劲心思总结的,并且小编信托这篇必定对各人是有一点辅佐的;好了,不打搅各人了,耐性看吧! 1. 用户账号与口令安详 修改默认账号口令 修改默认口令或禁用默认账号 参考设置操纵 编辑tomcat/conf/tomcat-user.xml设置文件,修改用户脚色权限 授权tomcat具有长途打点权限:
增补操纵声名 “强健的口令”要求为口令长度至少8位,并包罗数字、小写字母、大写字母和非凡标记4类中至少2类。 Tomcat 4.x和5.x版本用户脚色分为:role1,tomcat,admin,manager四种。
Tomcat 6.0.18版本只有admin和manager两种用户脚色,且admin用户具有manager打点权限。 Tomcat 4.1.37和5.5.27版本及往后刊行的版本默认除admin用户外其他用户都不具有manager打点权限。 鉴定前提 修改后的账号可以登录Tomcat Web处事器为正常。 检测操纵 会见http://ip:8080/manager/html打点页面,举办Tomcat处事器打点。 2.优化WEB处事账号 配置shutdown为伟大的字符串,防备恶意用户telnet到8005端口后,发送SHUTDOWN呼吁遏制Tomcat处事。 参考设置操纵 打开Tomcat_home/conf/server.xml,配置shutdown为伟大的字符串。 <Server port="8005" shutdown="伟大字符不要包罗非凡字符,如:冒号、分号、引号等。 鉴定前提 查察Tomcat_home/conf/server.xml设置文件 <Server port="8005" shutdown="伟大的字符串"> 3.日记与审计 增进会见日记审计,记录错误信息和会见信息。 参考设置操纵 编辑server.xml设置文件,在 将以下内容的注释标志< ! -- -- >打消
增补操纵声名
Directory:日记文件安排的目次,在tomcat下面有个logs文件夹,那内里是专门安排日记文件的,也可以修改为其他路径; Prefix: 这个是日记文件的名称前缀,日记名称为localhost_access_log.2008-10-22.txt,前面的前缀就是这个localhost_access_log Suffix: 文件后缀名 Pattern: common方法时,将记录会见源IP、当地处事器IP、记录日记处事器IP、会见方法、发送字节数、当地吸取端口、会见URL地点等相干信息在日记文件中 resolveHosts:值为true时,tomcat会将这个处事器IP地点通过DNS转换为主机名,假如是false,就直接写处事器IP地点 鉴定前提 查察logs目次中相干日记文件内容,记录完备 检测操纵 查察localhost_access_log.2018-10-22.log中相干日记记录 4.安详防护 潜匿Tomcat表现版本信息 参考设置操纵 a.解压catalina.jar
b.修改server.info行,修改相干的版本信息:server.info=Apache Tomcat c.从头压缩catalina.jar
鉴定前提 Telent ip :80 端口 执行get head查察是否包括版本信息 5.榨取目次遍历 修改参数文件,榨取目次遍历。 参考设置操纵 (1) 编辑tomcat/conf/web.xml设置文件,
把true改成false (2)从头启动tomcat处事 鉴定前提 当WEB目次中没有默认首页如index.html,index.jsp等文件时,不会列出目次内容 检测操纵 直接会见http://ip:8800/webadd 6.错误信息自界说 修改错误文件信息内容,防备信息走漏 参考设置操纵 (1)设置tomcat/conf/web.xml文件: 在最后一行之前插手以下内容:
(编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |