016-tomcat信息安全培训.pdfVIP

主讲：Gnosis

第1页8/6/20181:18PM©2015谷安天下版权所有

Tomcat服务器的安全设置

Tomcat服务器的日志审计方法

第2页8/6/20181:18PM©2015谷安天下版权所有

了解Tomcat服务器启动的权限

了解Tomcat服务器后台管理地址和修改管理账号密码的方法

了解隐藏Tomcat版本信息的方法

了解如何关闭不必要的接口和功能

了解如何禁止目录列表，防止文件名泄露

掌握Tomcat服务器通过后台获取权限的方法

掌握Tomcat样例目录session操纵漏洞

第3页8/6/20181:18PM©2015谷安天下版权所有

Tomcat是一个小型的轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是

开发和调试JSP程序的首选。

第4页8/6/20181:18PM©2015谷安天下版权所有

Ø1、tomcat启动用户权限必须为非root权限，尽量降低tomcat启动用户的目录访问权限；

Ø2、如需直接对外使用80端口，可通过普通账号启动后，配置iptables规则进行转发。

Ø备注：避免一旦tomcat服务被入侵，黑客直接获取高级用户权限危害整个server的安全。

基于安全考虑，将tomcat的使用权限赋给admin组，admin用户，只要设置到这个组中，即可以直接使用

tomcat。这样一来可以防止用户误删系统或其他用户的文件；二来即使tomcat中的项目有漏洞遭到攻击，

也不至于破坏系统。

chown-Radmin.admintomcat

第5页8/6/20181:18PM©2015谷安天下版权所有

设置启动脚本

第6页8/6/20181:18PM©2015谷安天下版权所有

tomcat服务器http//localhost8080/

这样访问，点击ManagerApp后要求输入用户名和密码才能进入管理应用界面

第7页8/6/20181:18PM©2015谷安天下版权所有

弹出

打开tomcat-users.xml这个文件

进行如下配置

在/tomcat-users节点的前面

第8页8/6/20181:18PM©2015谷安天下版权所有

进行这样的配置后保存，重启tomcat服务器

再进行访问http//localhost8080/

点击ManagerApp后输入用户名为admin和密码为admin即可进入管理应用界面

第9页8/6/20181:18PM©2015谷安天下版权所有

1、首先备份tomcat

2、进入tomcat的lib目录找到catalina.jar文件

3、unzipcatalina.jar之后会多出两个文件夹

4、编辑配置文件ServerIperties

第10