016-tomcat信息安全培训 .docxVIP

主讲：Gnosis

第1页 8/6/20181:18PM ?2015谷安天下版权所有

Tomcat服务器的安全设置

Tomcat服务器的日志审计方法

第2页 8/6/20181:18PM ?2015谷安天下版权所有

了解Tomcat

了解Tomcat

服务器启动的权限

服务器后台管理地址和修改管理账号密码的方法

了解隐藏Tomcat版本信息的方法

了解如何关闭不必要的接口和功能

了解如何禁止目录列表，防止文件名泄露

掌握Tomcat服务器通过后台获取权限的方法

掌握Tomcat样例目录session操纵漏洞

第3页 8/6/20181:18PM ?2015谷安天下版权所有

Tomcat是一个小型的轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP程序的首选。

第4页 8/6/20181:18PM ?2015谷安天下版权所有

?1、tomcat启动用户权限必须为非root权限，尽量降低tomcat启动用户的目录访问权限；?2、如需直接对外使用80端口，可通过普通账号启动后，配置iptables规则进行转发。?备注：避免一旦tomcat服务被入侵，黑客直接获取高级用户权限危害整个server的安全。

基于安全考虑，将tomcat的使用权限赋给admin组，admin用户，只要设置到这个组中，即可以直接使用tomcat。这样一来可以防止用户误删系统或其他用户的文件；二来即使tomcat中的项目有漏洞遭到攻击，也不至于破坏系统。

chown-Radmin.admintomcat

第5页 8/6/20181:18PM ?2015谷安天下版权所有

设置启动脚本

第6页 8/6/20181:18PM ?2015谷安天下版权所有

tomcat服务器http://localhost:8080/

这样访问，点击ManagerApp后要求输入用户名和密码才能进入管理应用界面

第7页 8/6/20181:18PM ?2015谷安天下版权所有

弹出

打开tomcat-users.xml这个文件进行如下配置

在/tomcat-users节点的前面

第8页 8/6/20181:18PM ?2015谷安天下版权所有

进行这样的配置后保存，重启tomcat服务器再进行访问http://localhost:8080/

点击ManagerApp后输入用户名为admin和密码为admin即可进入管理应用界面

第9页 8/6/20181:18PM ?2015谷安天下版权所有

1、首先备份tomcat

2、进入tomcat的lib目录找到catalina.jar文件

3、unzip

4、

catalina.jar之后会多出两个文件夹

编辑配置文件ServerIperties

第10页 8/6/20181:18PM ?2015谷安天下版权所有

5、编辑配置文件ServerIperties

6、将修改后的信息压缩回jar包

jaruvfcatalina.jarorg/apache/catalina/util/ServerIperties

7.重启服务

第11页 8/6/20181:18PM ?2015谷安天下版权所有

?禁用管理端

?1、删除默认的｛Tomcat安装目录｝/conf/tomcat-users.xml文件，重启tomcat后会自动生成新的文件；

?2、删除｛Tomcat安装目录｝/webapps下默认的所有目录和文件；?3、将tomcat应用根目录配置为tomcat安装目录以外的目录。?配置样例：

?Contextpath=docBase=/home/work/local/tomcat_webapps?debug=0reloadable=falsecrossContext=true/

?备注：

?对于前端web模块，Tomcat管理端属于tomcat的高危安全隐患，一旦被攻破，黑客通过上传webshell的方式将会直接取得服务器的控制权，后果极其严重

第12页 8/6/20181:18PM ?2015谷安天下版权所有

?telent管理端口保护?1、修改默认的8005管理端口为不宜猜测的端口（需要大于1024）；?2、修改SHUTDOWN指令为其他字符串。

?配置样例：

?Serverport=8527shutdown=dangerous?备注：

?以上配置想的配置内容只是建议配置，可以按照服务实际情况进行合理配置，但要求端口配置在8000～8999之间

第13页 8/6/20181:18PM ?2015谷安天下版权所有

?ajp连接端口保护