打造安全的Tomcat服务器汇编.pdfVIP

打造安全的 Tomcat 服务器 tomcat 是一个开源 Web服务器，基于 Tomcat 的 Web运行效率高，可以在一般的 硬件平台上流畅运行，因此，颇受 Web站长的青睐。不过，在默认配置下其存在 一定的安全隐患， 可被恶意攻击。 另外， 由于其功能比较单纯需要我们进一步地 进行设置。 环境描述 OS：Windows Server 2003 IP ：2 Tomcat：6.0.18 1、安全测试 (1). 登录后台 在 Windows Server 2003 上部署 Tomcat，一切保持默认。然后登录 Tomcat 后台，其默认的后台地址为： 2:8080/manager/html 。在浏览器中输入该地址，回车 后弹出登录对话框， 输入默认的用户名 admin，默认的密码为空， 成功登录后台。 ( 图 1) (2). 获得 Webshell 在 Tomcat 的后台有个 WARfile to deploy 模块，通过其可以上传 WAR文件。 Tomcat 可以解析 WAR文件，能够将其解压并生成 web文件。我们将一个 jsp 格 式的 webshell 用 WinRar 打包然后将其后缀改名为 WAR(本例为 gslw.war) ，这 样 ; 一个 WAR包就生成了。 最后将其上传到服务器， 可以看到在 Tomcat 的后台中 多了一个名为 /gslw 的目录，点击该目录打开该目录 jsp 木马就运行了，这样就 获得了一个 Webshell 。( 图 2) (3). 测试操作 创建 管理员 Tomcat服务默认是以 system 权限运行的，因此该 jsp 木马就继承了其权限， 几乎可以对 Web服务器进行所有的操作。 比如启动服务、删除/ 创建 / 修改文件、 创建用户。 我们以创建管理员用户为例进行演示。 运行 jsp 木马的“命令行”模 块，分别输入命令 net user test test168 /add 和 net localgroup administrators test /add ，这样就创建了一个具有管理员权限的 test 用户， 其密码为 test168 。( 图 3) 远程登录 我们还可以进一步地渗透， 比如通过“远程桌面”登录 Web服务器。输入命 令 netstat -ano 查看该服务器的 3389 端口是关闭的。我们可以利用 webshell 上传一个工具， 利用其开启 Web服务器的远程桌面。 最后，我们就可以成功登录 系统，至此整个 Web沦陷。 ( 图 4) 2、安全防范 通过上面的测试可以看到，默认配置下的 Tomcat 服务器的安全性是非常差 的。如何来加固 Tomcat 服务器的安全性呢 ?我们从以下几个方面来加强。 (1). 服务降权 默认安装时 Tomcat 是以系统服务权限运行的，因此缺省情况下几乎所有的 Web服务器的管理员都具有 Administrator 权限这和 IIS 不同，存在极大的安全 隐患，所以我们的安全设置首先从 Tomcat 服务降权开始。 首先创建一个普通用户， 为其设置密码， 将其密码策略设置为“密码永不过 期”，比如我们创建的用户为 Tomcat_lw 。然后修改 Tomcat 安装文件夹的访问 权限，为 Tomcat_lw 赋予 Tomcat 文件夹的读、写、执行的访问权限，赋予 Tomcat_lw 对 WebApps文件夹的只读访问权限， 如果某些 Web应用