tomcat安全配置v1[1].0.0.0.ppt

tomcat安全配置v,版本控制,版本控制,目录,第一章tomcat常见的安全攻击与漏洞第二章tomcat应用的安全配置第三章tomcat应用的安全运维,第一章tomcat常见安全攻击与漏洞,发现Tomcat管理页面,扫描,使用默认帐户、口令登录,登陆后台,上传网页木马,上传网马,网马运行效果,利用webshell执行,TomcatUTF-8编码漏洞,漏洞发生在ApacheTomcat处理UTF-8编码时，没有正确转换，从而导致在处理包含%c0%ae%c0%ae的url时转换为类似./的形式，使得可以遍历系统任意文件，包括/etc/passwd等触发的条件为ApacheTomcat的配置文件context.xml或server.xml的allowLinking和URIencoding允许UTF-8选项,第二章tomcat应用的安全配置,目录,2.3账号管理认证授权,2.4日志,2.5IP协议安全要求,2.6设备其他安全要求,2.1补丁安全,2.2文件系统安全,补丁安全,最新的安全补丁发布与升级步骤，以tomcat发布的信息为准。参见如下地址：/security.html,文件系统安全,Tomcat及其应用程序的所在磁盘分区的文件系统类型，应当为NTFS系统。检查系统的共享文件系统，禁止将Tomcat及其应用程序设置在共享目录中。,TomCat-账号,账户设置,TomCat-账号,账户设置,TomCat-账号,账户设置,TomCat-口令,口令设置,TomCat-口令,口令设置,TomCat-口令,口令设置,TomCat-授权,授权设置,TomCat-授权,授权设置,TomCat-日志要求,日志要求,TomCat-IP协议安全要求,IP协议安全要求,TomCat-设备其它安全要求,设备其它安全要求,TomCat-设备其它安全要求,设备其它安全要求,TomCat-设备其它安全要求,设备其它安全要求,TomCat-设备其它安全要求,设备其它安全要求,TomCat-设备其它安全要求,设备其它安全要求,第三章tomcat应用的安全运维,安全快照,在系统割接上线前进行安全加固加固完成后保存系统当前配置情况：帐户权限端口（8080）Applications清单其他Tomcat配置信息,安全快照,日志配置说明,tomcat的conf目录下的server.xml主配文件,在与标签之间.有以下内容:,日志配置说明,逐一分析各个参数：className=org.apache.catalina.valves.AccessLogValve配置访问日志类型directory=/var/log/tomcat_access指定访问日志存放目录prefix=_access_log.指定日志文件名前缀字符suffix=.txt指定日志文件后缀字符pattern=“common”指定日志记录的格式（常用的有两个值.分别是pattern=“common”，pattern=“combined”）resolveHosts=false/指定是否进行逆向解析,日志配置说明,pattern=common%h%l%u%t%r%s%b%h这个就是服务器名称了，如果resolveHosts为false的话，这里就是IP地址了%l目录浏览者进行身份验证时提供的名字,否则就记录-%u得到了验证的访问者，否则就记录-%t发生访问的时间,以秒记%r请求资源使用的方法(GET,还是POST,还是其它)及被请求的资料%sHTTP返回给客户端的状态代码%b这是发送信息的字节数，不涵括http头，如果字节数为0的话，显示为-,日志配置说明,对应实例:rootfc8tomcat_access#_access_log.2008-05-21.txt-21/May/2008:13:14:52-0800GET/HTTP/1.12008132-21/May/2008:13:14:52-0800GET/tomcat.gifHTTP/1.12001934-21/May/2008:13:14:52-0800GET/asf-logo-wide.gifHTTP/1.12005866-21/May/2008:13:14:52-0800GET/tomcat-power.gifHTTP/1.12002324-21/May/2008:13:14:52-0800GET/favicon.icoHTTP/1.120021630-21/May/2008:13:15:00-0800GET/test.jspHTTP/1.1404979,日志配置说明,当指定格式为combined时,记录格式如下:%h%l%u%t%r%s%b%Refereri%User-Agenti%h这个就是服务器名称了，如果resolveHosts为false的话，这里就是IP地址了%l录浏览者进行身份验证时提供的名字,否则就记录-%u得到了验证的访问者，否则就记录-%t发生访问的时间,以秒记%r请求资源使用的方法(GET,还是POST,还是其它)及被请求的资料%sHTTP返回给客户端的状态代码%b这是发送信息的字节数，不涵括http头，如果字节数为0的话，显示为-%RefererI指明引用来源,如果是直接请求的话显示为-%User-AgentI记录客户端使用的代理软件,日志配置说明,实例如下:rootfc8tomcat_access#tail-_access_log.2008-05-21.txt-21/May/2008:13:35:14-0800GET/HTTP/1.12008132-Mozilla/4.0(compatible;MSIE7.0;WindowsNT5.1;.NETCLR2.0.50727)-21/May/2008:13:35:14-0800GET/tomcat.gifHTTP/1.1304-:8080/Mozilla/4.0(compatible;MSIE7.0;WindowsNT5.1;.NETCLR2.0.50727)-21/May/2008:13:35:14-0800GET/tomcat-power.gifHTTP/1.1304-http:/19