1、tomcat安全配置 v1.0.0.0,版本控制,版本控制,目 录,第一章 tomcat常见的安全攻击与漏洞 第二章 tomcat应用的安全配置 第三章 tomcat应用的安全运维,第一章 tomcat常见安全攻击与漏洞,发现Tomcat管理页面,扫描,使用默认帐户、口令登录,登陆后台,上传网页木马,上传网马,网马运行效果,利用webshell执行,Tomcat UTF-8编码漏洞,漏洞发生在Apache Tomcat处理UTF-8编码时,没有正确转换,从而导致在处理包含%c0%ae%c0%ae的url时转换为类似/的形式,使得可以遍历系统任意文件,包括/etc/passwd等 触发的条件为A
2、pache Tomcat的配置文件context.xml 或 server.xml 的allowLinking 和 URIencoding 允许UTF-8选项,第二章 tomcat应用的安全配置,目录,2.3 账号管理 认证授权,2.4 日志,2.5 IP协议安全要求,2.6 设备其他安全要求,2.1 补丁安全,2.2 文件系统安全,补丁安全,最新的安全补丁发布与升级步骤,以tomcat发布的信息为准。参见如下地址:http:/tomcat.apache.org/security.html,文件系统安全,Tomcat及其应用程序的所在磁盘分区的文件系统类型,应当为NTFS系统。 检查系统的共享
3、文件系统,禁止将Tomcat及其应用程序设置在共享目录中。,TomCat-账号,账户设置,TomCat-账号,账户设置,TomCat-账号,账户设置,TomCat-口令,口令设置,TomCat-口令,口令设置,TomCat-口令,口令设置,TomCat-授权,授权设置,TomCat-授权,授权设置,TomCat-日志要求,日志要求,TomCat-IP协议安全要求,IP协议安全要求,TomCat-设备其它安全要求,设备其它安全要求,TomCat-设备其它安全要求,设备其它安全要求,TomCat-设备其它安全要求,设备其它安全要求,TomCat-设备其它安全要求,设备其它安全要求,TomCat-设
4、备其它安全要求,设备其它安全要求,第三章 tomcat应用的安全运维,安全快照,在系统割接上线前进行安全加固 加固完成后保存系统当前配置情况: 帐户 权限 端口(8080) Applications清单 其他Tomcat配置信息,安全快照,日志配置说明,tomcat的conf目录下的server.xml主配文件,在与标签之间.有以下内容: ,日志配置说明,逐一分析各个参数: className=“org.apache.catalina.valves.AccessLogValve“ 配置访问日志类型 directory=“/var/log/tomcat_access“ 指定访问日志存放目录 pr
5、efix=“_access_log.“ 指定日志文件名前缀字符 suffix=“.txt“ 指定日志文件后缀字符 pattern=“common” 指定日志记录的格式(常用的有两个值.分别是pattern=“common”,pattern=“combined”) resolveHosts=“false“/ 指定是否进行逆向解析,日志配置说明,pattern=“common“ %h %l %u %t %r %s %b%h 这个就是服务器名称了,如果resolveHosts为false的话,这里就是IP地址了 %l 目录浏览者进行身份验证时提供的名字,否则就记录 “-“ %u 得到了验证的访问者,
6、否则就记录“-“%t 发生访问的时间, 以秒记%r 请求资源使用的方法(GET,还是POST,还是其它)及被请求的资料 %s HTTP返回给客户端的状态代码 %b 这是发送信息的字节数,不涵括http头,如果字节数为0的话,显示为-,日志配置说明,对应实例: rootfc8 tomcat_access# cat _access_log.2008-05-21.txt 192.168.1.1 - - 21/May/2008:13:14:52 -0800 “GET / HTTP/1.1“ 200 8132 192.168.1.1 - - 21/May/2008:13:14:52 -0800 “GET
7、 /tomcat.gif HTTP/1.1“ 200 1934 192.168.1.1 - - 21/May/2008:13:14:52 -0800 “GET /asf-logo-wide.gif HTTP/1.1“ 200 5866 192.168.1.1 - - 21/May/2008:13:14:52 -0800 “GET /tomcat-power.gif HTTP/1.1“ 200 2324 192.168.1.1 - - 21/May/2008:13:14:52 -0800 “GET /favicon.ico HTTP/1.1“ 200 21630 192.168.1.1 - -
8、21/May/2008:13:15:00 -0800 “GET /test.jsp HTTP/1.1“ 404 979,日志配置说明,当指定格式为combined时,记录格式如下: %h %l %u %t %r %s %b %Refereri %User-Agenti%h 这个就是服务器名称了,如果resolveHosts为false的话,这里就是IP地址了 %l 录浏览者进行身份验证时提供的名字,否则就记录 “-“ %u 得到了验证的访问者,否则就记录“-“ %t 发生访问的时间, 以秒记 %r 请求资源使用的方法(GET,还是POST,还是其它)及被请求的资料 %s HTTP返回给客户端的
9、状态代码 %b 这是发送信息的字节数,不涵括http头,如果字节数为0的话,显示为- %RefererI 指明引用来源,如果是直接请求的话显示为- %User-AgentI 记录客户端使用的代理软件,日志配置说明,实例如下: rootfc8 tomcat_access# tail -f _access_log.2008-05-21.txt 192.168.1.1 - - 21/May/2008:13:35:14 -0800 “GET / HTTP/1.1“ 200 8132 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET
10、 CLR 2.0.50727)“ 192.168.1.1 - - 21/May/2008:13:35:14 -0800 “GET /tomcat.gif HTTP/1.1“ 304 - “http:/192.168.1.2:8080/“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)“ 192.168.1.1 - - 21/May/2008:13:35:14 -0800 “GET /tomcat-power.gif HTTP/1.1“ 304 - “http:/192.168.1.2:8080/“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)“,日志检查,检查分析的原则: 有无异常的访问请求 有无非正常的事务处理记录 事件发生的频率,有无异常 事件发生的时间,有无异常,谢谢大家!,
