Tomcat服务器的安全配置

Tomcat服务器的安全配置办法tomcat是一个开源Web服务器，基于Tomcat的Web运行效率高，可以在一般的硬件平台上流畅运行，因此，颇受Web站长的青睐。不过，在默认配置下其存在一定的安全隐患，可被恶意攻击。另外，由于其功能比较单纯需要我们进一步地进行设置。本机将从安全和功tomcat是一个开源Web服务器，基于Tomcat的Web运行效率高，可以在一般的硬件平台上流畅运行，因此，颇受Web站长的青睐。不过，在默认配置下其存在一定的安全隐患，可被恶意攻击。另外，由于其功能比较单纯需要我们进一步地进行设置。本机将从安全和功能两方面谈谈基于Tomcat的Web服务器的部署，希望对大家有所帮助。环境描述OS：WindowsServer2003IP：192.168.1.12Tomcat：6.0.181、安全测试(1).登录后台在WindowsServer2003上部署Tomcat，一切保持默认。然后登录Tomcat后台，其默认的后台地址为：。在浏览器中输入该地址，回车后弹出登录对话框，输入默认的用户名admin，默认的密码为空，成功登录后台。(图1)(2).获得Webshell在Tomcat的后台有个WARfiletodeploy模块，通过其可以上传WAR文件。Tomcat可以解析WAR文件，能够将其解压并生成web文件。我们将一个jsp格式的webshell用WinRar打包然后将其后缀改名为WAR(本例为gslw.war)，这样;一个WAR包就生成了。最后将其上传到服务器，可以看到在Tomcat的后台中多了一个名为/gslw的目录，点击该目录打开该目录jsp木马就运行了，这样就获得了一个Webshell。(图2)(3).测试操作创建管理员Tomcat服务默认是以system权限运行的，因此该jsp木马就继承了其权限，几乎可以对Web服务器进行所有的操作。比如启动服务、删除/创建/修改文件、创建用户。我们以创建管理员用户为例进行演示。运行jsp木马的“命令行”模块，分别输入命令netusertesttest168/add和netlocalgroupadministratorstest/add，这样就创建了一个具有管理员权限的test用户，其密码为test168。(图3)远程登录我们还可以进一步地渗透，比如通过“远程桌面”登录Web服务器。输入命令netstat-ano查看该服务器的3389端口是关闭的。我们可以利用webshell上传一个工具，利用其开启Web服务器的远程桌面。最后，我们就可以成功登录系统，至此整个Web沦陷。(图4)2、安全防范通过上面的测试可以看到，默认配置下的Tomcat服务器的安全性是非常差的。如何来加固Tomcat服务器的安全性呢?我们从以下几个方面来加强。(1).服务降权默认安装时Tomcat是以系统服务权限运行的，因此缺省情况下几乎所有的Web服务器的管理员都具有Administrator权限这和IIS不同，存在极大的安全隐患，所以我们的安全设置首先从Tomcat服务降权开始。首先创建一个普通用户，为其设置密码，将其密码策略设置为“密码永不过期”，比如我们创建的用户为Tomcat_lw。然后修改Tomcat安装文件夹的访问权限，为Tomcat_lw赋予Tomcat文件夹的读、写、执行的访问权限，赋予Tomcat_lw对WebApps文件夹的只读访问权限，如果某些Web应用程序需要写访问权限，单独为其授予对那个文件夹的写访问权限。(图5)“开始→运行”，输入services.msc打开服务管理器，找到ApacheTomcat服务，双击打开该服务，在其实属性窗口中点击“登录”选项卡，在登录身份下选中“以此帐户”，然后在文本框中输入Tomcat_lw和密码，最后“确定”并重启服务器。这样Tomcat就以Tomcat_lw这个普通用户的权限运行。(图6)有的时候，我们需要在命令行下运行Tomcat，这时候可以在命令下输入命令runas/user:tomcat_lwcmd.exe回车后并输入密码，这样就开启一个Tomcat_lw权限的命令行。最后定位到Tomcat的bin文件夹下，输入命令tomcat6.exe即以Tomcat_lw在命令行下启动Tomcat。(图7)这样普通用户Tomcat_lw运行的Tomcat其权限就大大地降低了，就算是攻击者获得了Webshell也不能进一步深入，从而威胁web服务器的安全。(2).更改端口Tomcat的默认端口是8080，攻击者可以据此运行扫描工具进行端口扫描，从而获取部署了Tomcat的Web服务器然后实施攻击。因此，为了安全期间我们可以修改此默认端口。在Tomcat的安装路径的conf目录下找到server.xml文件，用记事本打开然后搜索8080找到对应的字段，然后将8080自行修改为另外的数字。另外，需要说明的是connectionTimeout=20000是连接超时，maxThreads=150是最大线程类似这样的参数也可以根据需要进行修改。(图8)(3).禁止列表我们知道在IIS中如果设置不当，就会列出Web当前目录中的所有文件，在Tomcat也不例外。如果浏览者可以在客户端浏览Web目录，那将会存在较大的安全隐患，因此我们要确认Tomcat的设置中禁止列目录。设置(3).禁止列表我们知道在IIS中如果设置不当，就会列出Web当前目录中的所有文件，在Tomcat也不例外。如果浏览者可以在客户端浏览Web目录，那将会存在较大的安全隐患，因此我们要确认Tomcat的设置中禁止列目录。设置文件是web.xml，也在conf目录下。用记事本打开该文件，搜索init-param在其附近找到类似如下字段：init-paramparam-namelistings/param-nameparam-valuefalse/param-value/init-param确认是false而不是true。(图9)(4).用户管理Tomcat的后台管理员为admin并且默认为空密码，安全期间我们需要修改该默认的用户名并为其设置健壮的密码。其配置文件为tomcat-users.xml，用记事本打开该文件然后进行修改。其中role标签表示其权限，manager说明是管理员权限;user标签表示后台管理用户，可以看到用户名为admin，我们可以将其修改为一个陌生的用户;可以看到password后面为空密码，我们可以为其设置一个复杂的密码。最后修改配置完成的tomcat-users.xml文件为：?xmlversion='1.0'encoding='utf-8'?tomcat-usersrolerolename=manager/rolerolename=admin/userusername=gslwpassword=test168roles=admin,manager//tomcat-users(图10)(5).错误页面Tomcat不像IIS提供了各种类型的错误页，如果Tomcat发生错误就会显示千篇一律的错误页面。其实我们可以通过修改其配置文件，从而自定义设置其错误页面的显示。打开web.xml文件，在最后一行的之前添加如下的语句：error-pageerror-code401/error-codelocation/401.htm/location/error-pageerror-pageerror-code404/error-codelocation/404.htm/location/error-pageerror-pageerror-code500/error-codelocation/500.htm/location/error-page当然，仅仅设置这样的语句还不行，需要创建相应的401.htm、404.htm、500.htm这样的文件才行。另外，要把错误页面文件放到webapps\manager目录中，否则需要在web.xml中指定其路径，最后的效果如图11所示。(图11)总结：Tomcat不同于IIS，其配置没有图形界面，而是通过修改配置文件来完成的。不过，正因为如此用户有更多的自主性，可以根据自己的需要进行扩展。而且其与Apache可以无缝结合，打造安全、强大的Web服务器。总结：Tomcat不同于IIS，其配置没有图形界面，而是通过修改配置文件来完成的。不过，正因为如此用户有更多的自主性，可以根据自己的需要进行扩展。而且其与Apache可以无缝结合，打造安全、强大的Web服务器。Tomcat配置的几个安全问题时间:2010-11-0514:17:55来源:网络作者:未知点击:84次1.关闭服务器端口：server.xml默认有下面一行：telnet到服务器的8005端口，输入"SHUTDOWN"，然后回车，服务器立即就被关掉了。shutdown指令改成一个别1.关闭服务器端口：server.xml默认有下面一行：telnet到服务器的8005端口，输入SHUTDOWN，然后回车，服务器立即就被关掉了。shutdown指令改成一个别人不容易猜测的字符串。telnet到8006，并且输入lizongbo才能够关闭Tomcat.个修改不影响shutdown.bat的执行。运行shutdown.bat一样可以关闭服务器。2.对于tomcat3.1中，屏蔽目录文件自动列出的方法tomcat下的一个web应用，那么如果你输入的是一个目录名，而且该目录下没有一个可用的welcome文件，那么tomcat会将该目录下的所有文件列出来，如果你想屏蔽这个缺省行为，那么可以修改conf/web.xml文件，将其中的：defaultorg.apache.catalina.servlets.DefaultServletdebug0listingstrue1defaultorg.apache.catalina.servlets.DefaultServletdebug0listingsfalse13.如何让Tomcat记录客户端的访问日志1。修改Tomcat的conf/server.xml文件。2。加上Valve节点到server.xml文件中，和您目前使用的Connector的节点平级。如：directory=e:\trs\trscds\tomcat\logspattern=combined/3。重新启动您的Tomcat4。有用户在访问的时候，在指定的log目录下面会生成一个access_log文件（每天一个）。Tomcat4.x为例。（可能会影响性能，不推荐大家使用）。4.处理好Tomcat管理台的安全Tomcat管理台的应用文件，默认在{Tomcat安装目录}\server\webapps下，有admin和manager两个应用。{Tomcat安装目录}\conf/tomcat-users.xml中定义。在{Tomcat安装目录}\webapps下admin.xml和manager.xml文件定义了可以通过访问/admin和/manager进入。tomcat管理台，造成严重安全问题IE打开链接http://[IP]:[Port]/admin，以用户名admin，密码为空登录，如果成功，{Tomcat安装目录}\webapps下admin.xml和manager.xml文件，或者去掉用户密5.运行错误网页404错误，会显示服务器版本号，服务器配置也一目了然，1、将附件的index.htm文件拷贝至\webapps\ROOT目录内，删除或改名原来的index.jsp文件。2、用记事本打开\conf\web.xml文件，在文件的倒数第二行（一行之前）加入以下内容：404/error_404.htm,奇怪的是我测试时输入一个不存在的页,出现404错误提示出现的却不是我所定