web應用安全基線-tomcat安全配置

Title:Linux-tomcat安全配置前端

tomcat 測試版本:tomcat7,tomcat8nginx

 

0x00 刪除默認目錄web

tomcat部署完畢,刪除 $CATALINA_HOME/webapps下默認的所有目錄文件apache

eg: rm -rf /opt/tomcat8/webapps/*tomcat

相關案例:Apache-tomcat樣例目錄存在漏洞安全

0x01 隱藏tomcat版本信息服務器

修改 $CATALINA_HOME/conf/server.xml, 關注Connector節點的server字段cookie

/opt/tomcat7_x/lib/org/apache/catalina/util/ServerInfo.properties,刪除敏感信息便可;app

0x02 用戶管理webapp

/opt/tomcat7_xxx/conf/tomcat-users.xml 下,屏蔽或刪除用戶權限相關配置

0x03 自動部署關閉

/opt/tomcat7_xxx/conf/server.xml 下,unpackWARS="false"     autoDeploy="false"

0x04 自定義錯誤頁面

/opt/tomcat7_xxx/conf/web.xml 下,根據須要自定義404,500等error頁面

0x05 禁止列目錄

/opt/tomcat7_xxx/conf/web.xml 下,設置以下參數。高版本(tomcat7及以上默認禁止)

0x06 服務權限控制

tomcat服務原則上以非root用戶啓動,應用部署目錄權限和tomcat服務啓動用戶分離。

0x07 AJP端口管理

AJP是爲tomcat與HTTP服務器之間通訊而定製的協議,可以提供較高的通訊速度和效率。若是tomcat前端放的是apache,會用到AJP鏈接器。前端若是是由nginx作反向代理則能夠不適用此鏈接器,此時須要註銷掉該鏈接器。

0x08 啓用cookie的HttpOnly屬性

啓用HttoOnly屬性的依據:將cookie設置成HttpOnly是爲了防止XSS攻擊,竊取cookie內容,增長cookie的安全性。

 

文章歸檔:http://secscorpio.top/?p=42

相關文章
相關標籤/搜索