本文记录了系统漏洞测试后的Tomcat配置调整,包括删除默认示例文件、禁用不安全HTTP方法、禁止RC4加密算法以及清理缓存的两种方法。详细介绍了在server.xml和web.xml中进行的配置修改,旨在提升服务器的安全性和性能。
前言:
近期, 系统进行了漏洞测试, 更改了很多东西, 特写一篇文章进行记录 !!!
1丶存在Apache tomcat示例文件
解决方案: 删除webapps目录下的自带项目
2丶启用了不安全的HTTP方法
解决方案: 禁用未使用到的HTTP方法
1丶找到Tomcat下server.xml文件, 启用TRACE方法
//__原因: 先启用了, 我们才能禁用它, 否则禁用会失效
<Connector port="8765" protocol="HTTP/1.1" connectionTimeout="60000" redirectPort="8443" allowTrace="true" />
2丶找到Tomcat下web.xml文件,添加如下配置
<!-- 禁用不安全的http方法 -->
<security-constraint>
<web-resource-collection>
<web-resource-name>DENY METHOD</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>DELETE</http-method>
<http-method>PATCH</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
配置可以在项目中直接配置, 也可以在Tomcat中配置, 不同就是Tomcat中配置是针对所有Tomcat下的应用。
3丶禁用RC4对称加密算法,这里只提供Tomcat的禁用方法
示: 在Tomcat->conf->server.xml找到https端口配置处
// 在server.xml文件中添加如下配置
<!-- 禁用RC4加密 -->
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA" />
4丶清空Tomcat缓存配置(免安装版)
第一种方式:
在启动脚本(startup.bat)中添加如下配置
// 编辑器打开startup.bat文件, 在第一行添加如下配置
rd/s/q D:\Software\configurationFile\tomcat\apache-tomcat-9.0.37\work\Catalina
第二种方式:
删除tomcat目录下中的work目录下的Catalina目录, 缓存就清空了
结语:目前整理的就那么多,若有问题或更多的有效的方法请留言讨论, 笔芯 !!!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
