---------------------------------------------------------------
本文题干阅读时间推荐5min
----------------------------------------------------------------
如果各位童鞋想讨论以下相关内容,欢迎关注公众号, 联系我:
-
OSCP相关技术(备考中)
-
CISSP备考经验(已通过认证)
-
CCSK(云安全)(已通过认证)
-
ISO/IEC 27001 Foundation(已通过认证)
----------------------------------------------------------------
一、背景介绍
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。
二、安装
1、下载Tomcat
如下,下载了apache-tomcat-9.0.80.zip到本地root目录下
2、解压rar包
3、从root目录中迁移至指定路径下
在 /usr/local/中创建好tomcat文件夹,迁移到进
4、进入tomcat的bin目录中执行安装
执行./startup.sh ,发现没有权限,再获取赋权,再执行安装,安装成功
chmod u+x *.sh
这里的u 这里指文件所有者,+x 添加可执行权限,*.sh表示所有的sh文件
三、验证运行
5、获取IP,浏览器访问tomcat
内网主机IP获取到位
浏览器访问
http://10.11.84.45:8080/
四、安全加固
6、appscan扫描,探测发现有隐藏目录
7、大概加固细节
8、禁止Tomcat列出目录
在conf/web.xml中编辑listings属性值为false
9、删除不必要的组件
删除webapps目录下的dosc、examples、host-manager、manager、ROOT目录
10、系统Banner
禁止Tomcat在Response Header返回server信息
tomcat可以分成连接器和容器两个重要的组建,(还有其他很多组件)Apache-Coyote 是Tomcat的连接器。处理http请求的请求行,请求头等信息,创建Request和Response对象,然后调用Servlet容器的invoke方法。
Server:Apache-Coyote/1.1是泄露了当前容器的类型
在Connector中添加server属性就可以了,具体如下:
隐藏error page返回
修改catalina.jar文件,进入org/apache/catalina/util 编辑配置文件ServerInfo.properties字段来实现来更改我们tomcat的版本信息
将修改后的信息压缩回jar包
重启tomcat后验证
注意:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关!~
走之前记得点个“在看”哟~
原文始发于微信公众号(从放弃到入门):【安全运维】CentOS7.9搭建Tomcat9环境及安全加固
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论