web应用安全基线-tomcat安全配置
Title:Linux-tomcat安全配置前端
tomcat 测试版本:tomcat7,tomcat8nginx
0x00 删除默认目录web
tomcat部署完毕,删除 $CATALINA_HOME/webapps下默认的所有目录文件apache
eg: rm -rf /opt/tomcat8/webapps/*tomcat
相关案例:Apache-tomcat样例目录存在漏洞安全
0x01 隐藏tomcat版本信息服务器
修改 $CATALINA_HOME/conf/server.xml, 关注Connector节点的server字段cookie
/opt/tomcat7_x/lib/org/apache/catalina/util/ServerInfo.properties,删除敏感信息便可;app
0x02 用户管理webapp
/opt/tomcat7_xxx/conf/tomcat-users.xml 下,屏蔽或删除用户权限相关配置
0x03 自动部署关闭
/opt/tomcat7_xxx/conf/server.xml 下,unpackWARS="false" autoDeploy="false"
0x04 自定义错误页面
/opt/tomcat7_xxx/conf/web.xml 下,根据须要自定义404,500等error页面
0x05 禁止列目录
/opt/tomcat7_xxx/conf/web.xml 下,设置以下参数。高版本(tomcat7及以上默认禁止)
0x06 服务权限控制
tomcat服务原则上以非root用户启动,应用部署目录权限和tomcat服务启动用户分离。
0x07 AJP端口管理
AJP是为tomcat与HTTP服务器之间通讯而定制的协议,可以提供较高的通讯速度和效率。若是tomcat前端放的是apache,会用到AJP链接器。前端若是是由nginx作反向代理则能够不适用此链接器,此时须要注销掉该链接器。
0x08 启用cookie的HttpOnly属性
启用HttoOnly属性的依据:将cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,增长cookie的安全性。
文章归档:http://secscorpio.top/?p=42
- 1. web应用安全基线-nginx安全配置
- 2. web应用安全基线-memcached安全配置
- 3. Tomcat 安全配置
- 4. tomcat安全配置
- 5. TOMCAT安全配置
- 6. Tomcat安全配置
- 7. windwos 安全基线配置
- 8. Web应用安全
- 9. 应用安全-Web安全-注入篇
- 10. tomcat安全配置 day02
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Git 安装配置 - Git 教程
- • Tomcat学习笔记(史上最全tomcat学习笔记)
- • Composer 安装与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. web应用安全基线-nginx安全配置
- 2. web应用安全基线-memcached安全配置
- 3. Tomcat 安全配置
- 4. tomcat安全配置
- 5. TOMCAT安全配置
- 6. Tomcat安全配置
- 7. windwos 安全基线配置
- 8. Web应用安全
- 9. 应用安全-Web安全-注入篇
- 10. tomcat安全配置 day02