360SDN.COM

首页/Tomcat/列表

Linux下tomcat安全配置

来源:黑客技术与网络安全  2017-09-11 13:35:30    评论:0点击:

来自:乌云漏洞报告平台(微信号:wooyun_org

作者:s4cr00t 

链接:http://drops.wooyun.org/运维安全/15888(点击尾部阅读原文前往)

已获转载授权


0x00 删除默认目录

安装完tomcat后,删除$CATALINA_HOME/webapps下默认的所有目录文件

rm -rf /srv/apache-tomcat/webapps/*


0x01 用户管理

如果不需要通过web部署应用,建议注释或删除tomcat-users.xml下用户权限相关配置



0x02 隐藏tomcat版本信息

方法一

修改$CATALINA_HOME/conf/server.xml,在Connector节点添加server字段,示例如下



方法二

修改$CATALINA_HOME/lib/catalina.jar::org/apache/catalina/util/ServerInfo.properties

默认情况下如图




用户可自定义修改server.info字段和server.number字段,示例修改如下图所示。




0x03 关闭自动部署

如果不需要自动部署,建议关闭自动部署功能。在$CATALINA_HOME/conf/server.xml中的host字段,修改unpackWARs="false" autoDeploy="false"。



0x04 自定义错误页面

修改web.xml,自定义40x、50x等容错页面,防止信息泄露。



0x05 禁止列目录(高版本默认已禁止)

修改web.xml



0x06 AJP端口管理

AJP是为 Tomcat 与 HTTP 服务器之间通信而定制的协议,能提供较高的通信速度和效率。如果tomcat前端放的是apache的时候,会使用到AJP这个连接器。前端如果是由nginx做的反向代理的话可以不使用此连接器,因此需要注销掉该连接器。



0x07 服务权限控制

tomcat以非root权限启动,应用部署目录权限和tomcat服务启动用户分离,比如tomcat以tomcat用户启动,而部署应用的目录设置为nobody用户750。


0x08 启用cookie的HttpOnly属性

修改$CATALINA_HOME/conf/context.xml,添加<Context useHttpOnly="true">,如下图所示



测试结果




配置cookie的secure属性,在web.xml中sesion-config节点配置cooker-config,此配置只允许cookie在加密方式下传输。



测试结果



●本文编号177,以后想阅读这篇文章直接输入177即可。

●输入m可以获取到文章目录。

更多推荐请看15个技术类公众微信

涵盖:程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、.NET、Linux、数据库、运维等。传播计算机学习经验、推荐计算机优秀资源:点击前往《值得关注的15个技术类微信公众号

阅读原文

为您推荐

友情链接 |九搜汽车网 |手机ok生活信息网|ok生活信息网|ok微生活
 Powered by www.360SDN.COM   京ICP备11022651号-4 © 2012-2016 版权