linux下tomcat安全配置

s4cr00t 2016-05-25 09:29:00

0x00 删除默认目录


安装完tomcat后,删除$CATALINA_HOME/webapps下默认的所有目录文件

rm -rf /srv/apache-tomcat/webapps/*

0x01 用户管理


如果不需要通过web部署应用,建议注释或删除tomcat-users.xml下用户权限相关配置

0x02 隐藏tomcat版本信息


方法一

修改$CATALINA_HOME/conf/server.xml,在Connector节点添加server字段,示例如下

方法二

修改$CATALINA_HOME/lib/catalina.jar::org/apache/catalina/util/ServerInfo.properties

默认情况下如图

用户可自定义修改server.info字段和server.number字段,示例修改如下图所示。

0x03 关闭自动部署


如果不需要自动部署,建议关闭自动部署功能。在$CATALINA_HOME/conf/server.xml中的host字段,修改unpackWARs="false" autoDeploy="false"

0x03 自定义错误页面


修改web.xml,自定义40x、50x等容错页面,防止信息泄露。

0x05 禁止列目录(高版本默认已禁止)


修改web.xml

0x06 AJP端口管理


AJP是为 Tomcat 与 HTTP 服务器之间通信而定制的协议,能提供较高的通信速度和效率。如果tomcat前端放的是apache的时候,会使用到AJP这个连接器。前端如果是由nginx做的反向代理的话可以不使用此连接器,因此需要注销掉该连接器。

0x07 服务权限控制


tomcat以非root权限启动,应用部署目录权限和tomcat服务启动用户分离,比如tomcat以tomcat用户启动,而部署应用的目录设置为nobody用户750。

0x08 启用cookie的HttpOnly属性


修改$CATALINA_HOME/conf/context.xml,添加<Context useHttpOnly="true">,如下图所示

测试结果

配置cookie的secure属性,在web.xml中sesion-config节点配置cooker-config,此配置只允许cookie在加密方式下传输。

测试结果

评论

M

mono 2016-05-25 09:42:43

这个paper好及时,赞!

小饼仔 2016-05-25 10:16:22


小r00to1 2016-05-25 10:51:29

good

X

xsser 2016-05-25 14:09:55

不错 小地方很深入

Q

qglfnt 2016-05-25 14:38:38

不错,学习了

S

ssr 2016-05-25 17:25:03

收藏了,感谢分享!

路人甲 2016-05-25 19:17:31

赞一个,不错~ 再问一句,0x04去哪里了? :)

V

vforbox 2016-05-26 10:18:47

mark 写的不错

C

cfan 2016-05-26 14:38:16

mark

气质鸵鸟 2016-05-30 09:24:06

降权的地方还可以深入一下

S

s4cr00t

自由,共享,平等

twitter weibo github wechat

随机分类

企业安全 文章:40 篇
Android 文章:89 篇
XSS 文章:34 篇
木马与病毒 文章:125 篇
APT 文章:6 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录