tomcat安全加固手册

本文提供了一套详细的Tomcat服务器安全加固方案,包括隐藏版本信息、禁用默认账户、自定义关闭指令等措施,旨在提高Tomcat服务器的安全防护水平。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

项目场景:

         tomcat 渗透测试
         


问题描述:

 

 根据  tomcat安全加固手册 改渗透所会涉及安全问题。

下载tomca的最新版本

tomcat版本与jdk版本对应

隐藏tomcat版本号

修改tomca目录

/lib/catalina.jar解压的文件下的:\org\apache\catalina\util\ServerInfo.properties文件修改后替换该文件

server.info=Apache Tomcat
server.number=1
server.built=Jan 28 2021 09:12:57 UTC

 

删除webapps文件夹下的示例程序及文档

项目打war包后方webapps文件夹里其他文件删除掉

tomcat版本泄露:

Apache-Coyote/1.1自定义

apache-tomcat-7.0.108\conf\server.xml 修改:

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000" server="server"
               redirectPort="8443" URIEncoding="UTF-8" maxPostSize="-1" maxHttpHeaderSize ="1024000"/>

禁止登录

注释掉/conf/tomcat-users.xml中的用户信息:

<!--
  <role rolename="tomcat"/>
  <role rolename="role1"/>
  <user username="tomcat" password="<must-be-changed>" roles="tomcat"/>
  <user username="both" password="<must-be-changed>" roles="tomcat,role1"/>
  <user username="role1" password="<must-be-changed>" roles="role1"/>
-->

自定义SHUTDOWN 字符串

修改conf/server.xml中shutdown值为自定义复杂字符串:

<Server port="8005" shutdown="SBSBSBSBSBUSB">

 

开启日志审核

取消日志配置注释:

 

禁止列出目录

修改conf/web.xml的listings为false

 

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值