安全学习安全加固nginx/tomcat卡第十一天

最新推荐文章于 2025-04-30 07:30:00 发布
最新推荐文章于 2025-04-30 07:30:00 发布
阅读量163 收藏
点赞数
分类专栏: 安全学习 文章标签: nginx tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013133143/article/details/97825865
版权

本文为苏尚武老师运维安全课程课程笔记

  • nginx
    禁止显示当前版本
    配置文件server_tokens off;
    编译安装时注释掉/src/core/nginx.h内NGINX_VERSION和NGINX_VER

禁止上传目录禁止的php文件
单个目录

 location ~ /upload/.*\.(php|php5)?${
 deny all;
 }

多个目录

location ~* ^/(administartor|upload)/.*\.(php)?${
deny all;
}

禁止访问所有目录下的敏感文件

location ~. *\.(sql|log|txt|rar|zip|sh|py|svn|git)
{
deny all;
}

禁止不必要的http请求方式

if($request_method !~ ^(GET|HEAD|POST)$)
{
return 405;
}

设置nginx和php-fpm为nobody

  • tomcat
    tomcat弱口令零进入后台
    补丁和漏洞管理
    设置最小权限运行tomcat
    创建不可登录用户 useradd /sbin/nologin tomcat
    删掉管理界面
    网络级限制限制只有本机能访问
    隐藏tomcat版本号修改$CATALINNA_HOME/conf/server.xml
    connector子添加server字段等于WAF2.0
    关闭自动部署
    同上文件,
    session设置超时
    修改conf/web.xml

    20

    启动用cookie的HttpOnly属性
    conf.context.xml
    <Context userHttpOnly=‘true’ …/>
2ox
关注
专栏目录
Nginx 高性能调优与安全加固实战指南
菜小徐的博客
06-12 778
本文详细介绍了Nginx的性能调优、安全加固和内核参数优化等方面的实践方法。从 Nginx 的 master-worker 机制、系统与 Nginx 性能调优、内核参数优化,到安全加固措施,以及其他相关工具如 Apache 自带的压力测试工具 ab。本文旨在为您提供一个全面的 Nginx 调优与安全加固的实战指南。
如何让HTTPS站点更加安全? 这篇HTTPS安全加固配置最佳实践指南就够了
WeiyiGeek 唯一极客IT知识分享
04-10 4190
[TOC] 前置知识推荐了解 HTTPS原理介绍以及证书签名的申请配置 ( https://blog.weiyigeek.top/2019/10-21-10.html ) SSL与TLS协议原理和证书签名生成实践指南 ( https://blog.weiyigeek.top/2019/10-21-12.html ) 原文链接 HTTPS安全优化配置最佳实践指南简述 ( https://blog.weiyigeek.top/2022/4-6-11.html ) 0x02 HTTPS安全加固指南 描述: 当你
nginx性能配置参数说明:
weixin_30879169的博客
10-08 1058
nginx性能配置参数说明: nginx的配置:main配置段说明一.正常运行的必备配置: 1、user username [groupname]; 指定运行worker进程的用户和组 2、pid /path/to/pidfile_name; 指定nginxf进程的pid文件路径。 3、worker_rlimit...
4.3.1 Nginx---4.4.1 tomcat
weixin_33834075的博客
05-20 139
2019独角兽企业重金招聘Python工程师标准>>> ...
渗透测试-WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx
lza20001103的博客
08-18 5222
渗透测试-WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx) WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx) m0be1 Hacking黑白红 2022-06-13 23:47 发表于安徽 文章目录渗透测试-WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx)目录中间件Apache一、Apac
值得一看!年薪50万运维安全工程师学习路线
ewii12567的博客
11-02 808
在运维工作中,经常被贴上这样的标签:背锅侠?电脑修理工?救火队员?35岁被退休?996/007等等,安全运维工程师真的这么不堪吗?首先我们从运维工程师的工作职能入手,岗位工作内容:1、平台架构组建运维工程师的基本工作之一,主要负责参与并审核架构设计的合理性和可运维性,以确保系统上线后,安全、高效、稳定运行。保障并不断提升服务的可用性和数据安全性,提升用户体验。2、日常运营保障初级运维负责运用运维技术,运维平台,确保入网设备的全面纳管和全生命周期管理,确保设备、业务及安全等状态可监可控。
网络安全学习路线
chengxuyuanyy的博客
03-20 721
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
非常值得一看,最低月薪上万的运维安全工程师学习路线
2401_84618514的博客
04-16 1098
在运维工作中,经常被贴上这样的标签:背锅侠?电脑修理工?救火队员?35岁被退休?996/007等等,安全运维工程师真的这么不堪吗?网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
安全加固实施
qq_23710315的博客
07-13 2057
Windows操作系统安全加固 1.账户管理和认证授权 1.1账户 默认账户安全 禁用Guest账户。 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。) 操作步骤 打开控制面板>管理工具>计算机管理,在系统工具>本地用户和组>用户中,双击Guest帐户,在属性中选中帐户已禁用,单击确定。 按照用户分配帐户 按照用户分配帐户。根据业务要求,设定不同的用户和用户组。例如,管理员用户,数据库用户,审计用户,来宾用户等。 操作步骤 打开控制面板>
[基线加固]常见中间件(Tomcat&Nginx&Apache)
weixin_44508748的博客
04-17 2258
Tomcat安全基线加固 1.应按照不同的用户分配不同的账号,避免不同用户间共享账号。且应删除或锁定与设备运行、维护等工作无关的账号 无共享账号。各账号都可以登录Tomcat Web服务器为正常。 访问 http://ip:8080/manager/html管理页面,进行Tomcat服务器管理;修改tomcat/conf/tomcat-users.xml配置文件,删除与工作无关的帐号 参考配置: ...
2024全国职业技能大赛-网络安全赛题解析总结②(超详细)_中间件服务安全加固vsftpd httpd bind(linux)
2301_78416732的博客
05-03 1037
最全的Linux教程,Linux从入门到精通第一份《Linux从入门到精通》466页内容简介====本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷,并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘,内容为本书配套多媒体教学视频。
1 Linux SSH安全加固_linux system-auth(1)
2401_84850808的博客
09-06 1378
修改 /etc/login.defs文件将PASS_MIN_LEN 数值修改修改 /etc/pam.d/system_auth配置文件在password requisite 行后边添加: minlen=数值方法一:修改/etc/pam.d/system-auth在password requisite 行后边添加:ucredit=-1 #至少包含1位大写字母lcredit=-1 #至少包含1位小写字母ocredit=-1 #至少包含1位特殊字符。
【Linux常见应用配置专题】第三章:Tomcat集群配置与性能调优实战
最新发布
资深全栈架构师,乐于在 优快云 分享技术见解,与大家携手共进,共攀技术巅峰!
04-30 1045
🎉突破性能极限!通过本章的学习,您已经掌握了从单机Tomcat深度优化到分布式集群部署的全套技能。实际案例表明,经过优化后的Tomcat集群可支撑的并发量可达优化前的3-5倍!关键配置速查表配置类型核心文件关键参数连接器优化server.xmlJVM调优集群配置nginx.confSession共享安全加固web.xml在下一章中,我们将深入探讨Nginx反向代理与负载均衡完全手册,包括Nginx核心架构解析、动态模块开发、WAF集成等高级主题,助您构建企业级高性能Web平台!
企业网络安全最佳实践指南(二)
2301_81250923的博客
12-11 2624
首先是网络安全管理部分。正所谓“三分技术、七分管理”,且不论这“三”和“七”的科学合理性,单从字面上就可以看出管理的重要性。管理是脑,技术是手,脑支配手,手配合脑。所以先将网络安全管理相关内容进行呈现。网络安全管理体系侧重于从管理维度,在网络安全相关法律、法规控制下,制定网络安全整体的战略规划,对网络安全实际工作进行战略指导。配合战略落地,在管理方面的实际工作主要有标准化工作流程、风险管控、应急管理、网络安全重保、安全培训以及计划管理、监督实施等内容。
安全学习安全加固openResty第十二天
蟋蟀15型
07-31 816
本文为苏尚武老师运维安全课程课程笔记 安装OpenResty yum install -y readline-devel pcre-devel openssl-devel git wget vim openssl-devel gcc curl tar -zxvf ngx_openresty-1.9.3.2.tar.gz ...
安全学习入侵检测打第十六天
蟋蟀15型
08-05 462
本文为苏尚武老师运维安全课程课程笔记 osquery osquery是一个可以把操作系统信息转换成数据库的东西,查询类似于查询数据库 安装故过程随意,最后配置文件 cp /usr/share/osqure/osqure.exmple.conf /etc/osqure/osqeer .conf osqueryi交互式模拟 osqueryd 后台进程模式 osquery+kolide fle...
安全基础命令执行/XSS打第五天
蟋蟀15型
07-19 431
本文为苏尚武老师运维安全课程课程笔记 命令执行 危害高于sql注入,可以随意直接执行系统命令。没有对输入过滤 php中system、exec、shell、passthru、popen、proc_popen 案例: 命令注入 127.0.0.1 && username -ar 文件上传 客户端验证、mime验证 漏洞测试环境https://github.com/c0ny1/...
安全学习入侵检测-蜜罐打第十五天
蟋蟀15型
08-02 335
本文为苏尚武老师运维安全课程课程笔记 蜜罐 本质上是一种对攻击方的欺骗捕获分析,了解攻击者使用方法和意图 cowrie 一款伪装成ssh的蜜罐,可以获取攻击者的字典 搭建 useradd cowrie passwd cowrie yum install -y git python-virtualenv bzip2-devel libffi-devel vim net-tools mysql-...
安全基础-渗透流程/HTTP请求打第二天
蟋蟀15型
07-16 328
本文为苏尚武老师运维安全课程课程笔记 目录:什么是渗透> 常规渗透> 非常规渗透 > 渗透流程 / http基础 > burpsuite >fiddler > firefox插件 渗透 渗透是模拟黑客攻击找到企业中的漏洞 分类:白帽、黑帽 常规渗透 签订保密协议、针对性目标测试、指定测试范围 非常规渗透 APT攻击、红蓝对抗 渗透测试流程 攻击渗透流程图...
Weblogic
04-01
<think>好的,用户让我介绍WebLogic,我需要先回忆一下相关知识,确保信息准确。首先,WebLogic是Oracle的一个产品,属于应用服务器,用于企业级应用。我得解释它的基本概念,然后可能涉及核心功能,比如支持Java EE,分布式环境,集群、事务管理等。接着应该提到它的架构,可能有管理服务器、受管服务器、节点管理器这些组件。还要说说它的优点,比如高可用性、扩展性、安全性,以及适用的场景,比如大型企业的复杂系统。可能用户想知道它和其他服务器如Tomcat的区别,或者为什么选择WebLogic。需要比较时,指出Tomcat更轻量,适合简单应用,而WebLogic适合需要全面支持的企业环境。另外,用户可能需要知道版本历史和当前状态,比如现在是否还常用,有没有替代品。最后,应用场景的例子,比如金融、电信行业,这些对稳定性要求高的领域。要确保用中文,结构清晰,分点说明,同时注意使用正确的LaTeX格式,不过用户的问题里没有数学内容,可能不需要用到。不过系统级指令要求行内公式用$...$,独立公式用$$...$$,但这里应该用不上。检查有没有术语错误,比如J2EE现在叫Jakarta EE,可能需要提到。另外,用户可能关心部署和管理工具,比如控制台和脚本工具。安全方面,WebLogic提供哪些机制,比如SSL、角色权限。总之,组织信息时要分部分,逐步介绍,确保用户能理解WebLogic的作用、特点和使用场景。可能需要避免太技术化的术语,用更易懂的语言解释。最后确认是否遗漏重要点,比如与其他Oracle产品的集成,或者云支持的情况,比如是否支持容器化部署,Kubernetes等。现在把这些整理成一个结构化的回答,分点说明,帮助用户逐步了解。</think>### Weblogic 介绍 #### 1. **基本概念** **WebLogic** 是 Oracle 公司推出的 **Java EE(现 Jakarta EE)应用服务器**,主要用于构建、部署和管理企业级分布式应用。它支持完整的 Java EE 规范,提供高性能、高可靠性的运行环境,适用于复杂的企业级系统。 --- #### 2. **核心功能** - **Java EE 支持** 兼容 Servlet、JSP、EJB、JMS 等标准,提供完整的 Java EE 容器(Web 容器、EJB 容器)。 - **集群与负载均衡** 支持多服务器集群部署,自动分配请求流量(例如:$ \text{负载均衡算法} = \text{轮询/权重} $)。 - **事务管理** 提供分布式事务处理(XA 协议),确保数据一致性。 - **安全管理** 集成 LDAP、SSL、角色权限控制等机制。 - **监控与管理工具** 通过 WebLogic 控制台或 WLST(WebLogic Scripting Tool)进行配置与运维。 --- #### 3. **架构组成** - **管理服务器(Admin Server)** 核心控制节点,负责配置和监控整个域(Domain)。 - **受管服务器(Managed Server)** 实际运行业务应用的节点,由管理服务器统一管理。 - **节点管理器(Node Manager)** 用于远程启动/停止受管服务器。 - **域(Domain)** 逻辑管理单元,包含一组关联的服务器、应用和资源配置。 --- #### 4. **核心优势** - **高可用性** 通过集群和故障转移(Failover)机制减少停机风险。 - **扩展性** 支持横向扩展,应对高并发场景(例如:$ \text{吞吐量} \propto \text{服务器数量} $)。 - **企业级集成** 与 Oracle 数据库、中间件(如 SOA Suite)深度整合。 - **热部署** 支持不停机更新应用。 --- #### 5. **典型应用场景** - **金融系统** 银行核心交易系统、支付网关(需强事务和高可靠性)。 - **电信计费系统** 高并发话单处理与实时计费。 - **大型电商平台** 支持秒杀、订单处理等峰值流量场景。 - **政府/企业 ERP** 复杂业务流程与多系统集成。 --- #### 6. **与其他服务器的对比** | **特性** | **WebLogic** | **Tomcat** | |----------------|-----------------------------|-----------------------------| | **定位** | 企业级应用服务器 | 轻量级 Web 容器 | | **Java EE 支持**| 完整规范(EJB/JMS 等) | 仅 Servlet/JSP | | **集群能力** | 内置高级集群功能 | 需依赖第三方工具(如 Nginx)| | **适用场景** | 大型复杂系统 | 小型应用或微服务 | --- #### 7. **版本与发展** - **历史版本**:WebLogic 8.x(J2EE 1.4)、10.x(Java EE 5)、12c(云优化版本)。 - **当前版本**:WebLogic 14.x(支持 Jakarta EE 8 和 JDK 11+)。 - **云原生趋势**:支持 Kubernetes 容器化部署(通过 Operator 工具)。 --- #### 8. **学习与使用建议** - **入门路径**: 1. 掌握 Java EE 基础(Servlet/JSP/EJB); 2. 熟悉 WebLogic 控制台与 WLST 脚本; 3. 实践集群配置与性能调优。 - **资源推荐**: - Oracle 官方文档 - 《WebLogic Server 12c 高级管理与开发》 - GitHub 开源部署示例(如 Docker+WebLogic)。 --- 通过以上介绍,您可以初步了解 WebLogic 的核心能力与适用场景。如需深入特定功能(如集群配置或安全加固),可进一步探讨!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值