3 Web服務器安全加固
3.1 啓用日誌記錄功能
3.2 HTTPS協議
3.3 Tomcat錯誤頁面重定向
3.4 禁止tomcat列表顯示文件
表2-1 Linux安裝後文件路徑
表2-2 Linux下全局配置文件可能位置
3.1 啓用日誌記錄功能
實施目的
Web服務器應配置日誌功能,對用戶登錄進行記錄,記錄內容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄時用戶使用的IP地址。
問題影響
無法對用戶的登陸進行日誌記錄。
系統當前狀態
系統未配置日誌記錄。
實施步驟
編輯server.xml配置文件,在<HOST>標籤中增加記錄日誌功能
將以下內容的註釋標記< ! -- -- >取消
<valve classname="org.apache.catalina.valves.AccessLogValve"
Directory="logs" prefix="localhost_access_log." Suffix=".txt"
Pattern="common" resloveHosts="false"/>
classname:必須被設置爲
“org.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60”;
Directory:日誌文件放置的目錄,在tomcat下面有個logs文件夾,那裏面是專門放置日誌文件的,也可以修改爲其他路徑;
Prefix: 日誌文件的名稱前綴,如日誌名稱爲“localhost_access_log.2008-10-22.txt”,前綴就是本例中設置的“localhost_access_log”;
Suffix: 文件後綴名;
Pattern: common方式時,將記錄訪問源IP、本地服務器IP、記錄日誌服務器IP、訪問方式、發送字節數、本地接收端口、訪問URL地址等相關信息在日誌文件中;
resolveHosts:值爲true時,tomcat會將這個服務器IP地址通過DNS轉換爲主機名,如果是false,就直接寫服務器IP地址。
回退方案
還原server.xml。
判斷依據
登錄web服務器後,檢查相關信息是否被日誌記錄。
實施風險
低
重要等級
★★★
3.2 HTTPS協議
實施目的
對於通過HTTP協議進行遠程維護的設備,設備應支持使用HTTPS等加密協議。
問題影響
增加Web數據傳輸安全隱患。
系統當前狀態
系統未配置HTTPS加密協議。
實施步驟
1、使用JDK自帶的keytool工具生成一個證書:
JAVA_HOME/bin/keytool -genkey –alias tomcat –keyalg RSA -keystore /path/to/my/keystore
2、修改tomcat/conf/server.xml配置文件,更改爲使用https方式,增加如下行:
<Connector classname="org.apache.catalina.http.HttpConnector" port="443" minProcessors="5" maxprocessors="100" enableLookups="true" acceptCount="10" debug="0"scheme="https" secure="true" >
< Factory classname="org.apache.catalina.SSLServerSocketFactory" clientAuth="false" keystoreFile="/path/to/my/keystore" keystorePass="runway" protocol="TLS"/>
< /Connector>
回退方案
還原server.xml。
判斷依據
登錄web服務器後,檢查相關信息是否被日誌記錄。
實施風險
低
重要等級
★★★
3.3 Tomcat錯誤頁面重定向
實施目的
更改Tomcat錯誤頁面並重定向頁面,增加系統安全性。
問題影響
出現錯誤時系統可能會將錯誤堆棧信息打印到頁面,使得***人員可以根據錯誤信息進行有效的***。
系統當前狀態
系統未配置錯誤重定向頁面。
實施步驟
配置tomcat/conf/web.xml文件,在最後</web-app>之前加入以下內容:
<error-page>
< error-code>404</error-code>
< location>/noFile.htm</location>
< /error-page>
……………
< error-page>
< exception-type>java.lang.NullPointerException</exception-type>
< location>/error.jsp</location> </error-page>
第一個<error-page></error-page>之間的配置實現了將404未找到jsp網頁的錯誤導向noFile.htm頁面,也可以用類似方法添加其多的錯誤代碼導向頁面,如403,500等。
第二個<error-page></error-page>之間的配置實現了當jsp網頁出現java.lang.NullPointerException導常時,轉向error.jsp錯誤頁面。
回退方案
還原server.xml。
判斷依據
URL地址欄中輸入“http://ip:80/manager123”查看返回界面。
實施風險
高
重要等級
★
3.4 禁止tomcat列表顯示文件
實施目的
禁止tomcat列表顯示文件,增加系統安全性。
問題影響
不安全性增加。
系統當前狀態
系統未配置禁止tomcat列表顯示文件。
實施步驟
編輯tomcat/conf/web.xml配置文件,
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
< /init-param>
把true改成false。重新啓動tomcat服務。
回退方案
還原server.xml。
判斷依據
直接訪問http://ip:8800/webadd。
實施風險
低
重要等級
★