网页中间件安全加固

一、APACHE
WEB服务器软件,apache的程序名是httpd,服务的控制:
systemctl start/stop/status httpd
Apache是一个静态网站程序,不能直接支持动态页面;若要支持动态页面,则需要整合其它程序,如要支持PHP动态页面:
yum install php-fpm php-common php-devel php-mysqlnd php-mbstring php-mcrypt  
安装完后,记得重启服务,可以支持动态页面。
二、独立的动态页面的支持程序:
tomcat,jboss,resin,websphere,weblogic这些
都是支持JAVA的动态页面的程序。
三、安装启动tomcat
1、cd /root/vulhub/vulhub-master/tomcat/CVE-2017-12615
docker-compose up -d
netstat -lntp
2、图形管理界面:
tomcat/conf
tomcat-users.xml

3、版本信息隐藏
cd /usr/local/tomcat/lib
找到catalina.jar文件
unzip catalina.jar
cd org/apache/catalina/util/
4、tomcat图形界面有安全问题
方法1:图形界面所用页面全部删除
tomcat/webapps
默认页面全部删除
方法2:在配置文件中更新管理界面所用页面到一个空目录
 debug="0" reloadable="false" crossContext="true" />

5、关闭不必要的端口:8005
在配置文件中,找到server port=8005
vi tomcat/conf/server.xml

将8005更改为一个安全端口
同样,可以更改8009端口。

6、文件列表
vi tomcat/conf/web.xml 
        

            listings
            false
       

将false改为true

7、日志记录
vi tomcat/conf/logging.properties 

日志产生
tomcat/logs

其中跟踪日志记录(访问)
tail -f  localhost_access_log.2022-01-13.txt


常用的扫描工具
1、wireshark

2、tcpdump


 

你可能感兴趣的:(中间件,安全,tomcat)