前言:
此时我们对“apacheweb服务器加固”可能比较重视,同学们都想要学习一些“apacheweb服务器加固”的相关文章。那么小编在网上收集了一些有关“apacheweb服务器加固””的相关文章,希望咱们能喜欢,我们一起来学习一下吧!Tomcat介绍
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统被普遍使用,Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上是作为一个与Apache 一样独立的进程单独运行。Tomcat和IIS等Web服务器一样,具有处理HTML页面的功能,另外它还是一个Servlet和JSP容器。
Tomcat安全加固
1、Tomcat控制台
一般无特殊需要可以直接删除webapps文件夹默认自带文件夹及其文件,若业务系统需要使用tomcat管理后台进行业务代码发布和管理需要进行如下配置。
修改tomcat/conf/tomcat-user.xml配置文件
修改默认admin用户,且密码长度不低于10位,必须包含大写字母、特殊符号、数字组合(切记勿用弱密码,以下密码仅作演示)如下:
<role rolename="admin-gui"/> <role rolename="manager-gui"/><user username="admin" password="Admin@#123" roles=" admin-gui , manager-gui "/>
2、自定义错误页面
报错信息可能会造成信息泄露,不容忽视
1创建对应的html
2编辑tomcat/conf/web.xml文件中下列代码:
<error-page><error-code>404</error-code><location>/404.html</location></error-page><error-page><error-code>403</error-code><location>/403.html</location></error-page><error-page><error-code>500</error-code><location>/500.html</location></error-page>
3、日志记录
编辑tomcat/conf/server.xml配置文件
检查日志记录是否开启(7/8这些较高版本都已经默认开启,低版本自行查看)
<valve classname="org.apache.catalina.valves.AccessLogValve" Directory="logs" prefix="localhost_access_log." suffix=".txt" Pattern="common" resloveHosts="false" />
4、目录浏览
编辑tomcat/conf/web.xml配置文件
检查目录浏览是否关闭(都是默认关闭自行查看)
<init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param>
需要把true改成false
5、版本更新
时刻关注tomcat更新是否存在漏洞,尽量下载最新稳定版安装使用
比如最近才爆出的 Tomcat Ajp协议文件包含漏洞
标签: #apacheweb服务器加固