3 Web服務器安全加固

3 Web服務器安全加固... 43

3.1 啓用日誌記錄功能... 43

3.2 HTTPS協議... 44

3.3 Tomcat錯誤頁面重定向... 45

3.4 禁止tomcat列表顯示文件

表2-1 Linux安裝後文件路徑... 28

表2-2 Linux下全局配置文件可能位置

3.1 啓用日誌記錄功能

實施目的

Web服務器應配置日誌功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄時用戶使用的IP地址。

問題影響

無法對用戶的登陸進行日誌記錄。

系統當前狀態

系統未配置日誌記錄。

實施步驟

編輯server.xml配置文件，在<HOST>標籤中增加記錄日誌功能

將以下內容的註釋標記< ! --    -- >取消

<valve classname="org.apache.catalina.valves.AccessLogValve"
Directory="logs" prefix="localhost_access_log." Suffix=".txt"
Pattern="common" resloveHosts="false"/>

classname：必須被設置爲

“org.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60”；

Directory：日誌文件放置的目錄，在tomcat下面有個logs文件夾，那裏面是專門放置日誌文件的，也可以修改爲其他路徑；

Prefix: 日誌文件的名稱前綴，如日誌名稱爲“localhost_access_log.2008-10-22.txt”，前綴就是本例中設置的“localhost_access_log”；

Suffix: 文件後綴名；

Pattern: common方式時，將記錄訪問源IP、本地服務器IP、記錄日誌服務器IP、訪問方式、發送字節數、本地接收端口、訪問URL地址等相關信息在日誌文件中；

resolveHosts:值爲true時，tomcat會將這個服務器IP地址通過DNS轉換爲主機名，如果是false，就直接寫服務器IP地址。

回退方案

還原server.xml。

判斷依據

登錄web服務器後，檢查相關信息是否被日誌記錄。

實施風險

低

重要等級

★★★

3.2 HTTPS協議

實施目的

對於通過HTTP協議進行遠程維護的設備，設備應支持使用HTTPS等加密協議。

問題影響

增加Web數據傳輸安全隱患。

系統當前狀態

系統未配置HTTPS加密協議。

實施步驟

1、使用JDK自帶的keytool工具生成一個證書：

JAVA_HOME/bin/keytool  -genkey –alias tomcat –keyalg  RSA -keystore /path/to/my/keystore

2、修改tomcat/conf/server.xml配置文件，更改爲使用https方式，增加如下行：

<Connector classname="org.apache.catalina.http.HttpConnector" port="443"  minProcessors="5"  maxprocessors="100" enableLookups="true"  acceptCount="10"  debug="0"scheme="https" secure="true" >
< Factory classname="org.apache.catalina.SSLServerSocketFactory" clientAuth="false" keystoreFile="/path/to/my/keystore" keystorePass="runway" protocol="TLS"/>
< /Connector>

回退方案

還原server.xml。

判斷依據

登錄web服務器後，檢查相關信息是否被日誌記錄。

實施風險

低

重要等級

★★★

3.3 Tomcat錯誤頁面重定向

實施目的

更改Tomcat錯誤頁面並重定向頁面,增加系統安全性。

問題影響

出現錯誤時系統可能會將錯誤堆棧信息打印到頁面，使得***人員可以根據錯誤信息進行有效的***。

系統當前狀態

系統未配置錯誤重定向頁面。

實施步驟

配置tomcat/conf/web.xml文件，在最後</web-app>之前加入以下內容：

<error-page>  
< error-code>404</error-code>
< location>/noFile.htm</location>  
< /error-page> 
…………… 
< error-page>
< exception-type>java.lang.NullPointerException</exception-type>
< location>/error.jsp</location>  </error-page>

第一個<error-page></error-page>之間的配置實現了將404未找到jsp網頁的錯誤導向noFile.htm頁面，也可以用類似方法添加其多的錯誤代碼導向頁面，如403,500等。

第二個<error-page></error-page>之間的配置實現了當jsp網頁出現java.lang.NullPointerException導常時，轉向error.jsp錯誤頁面。

回退方案

還原server.xml。

判斷依據

URL地址欄中輸入“http://ip:80/manager123”查看返回界面。

實施風險

高

重要等級

★

3.4 禁止tomcat列表顯示文件

實施目的

禁止tomcat列表顯示文件,增加系統安全性。

問題影響

不安全性增加。

系統當前狀態

系統未配置禁止tomcat列表顯示文件。

實施步驟

編輯tomcat/conf/web.xml配置文件，

<init-param>
        <param-name>listings</param-name>
        <param-value>true</param-value>
< /init-param>

把true改成false。重新啓動tomcat服務。

回退方案

還原server.xml。

判斷依據

直接訪問http://ip:8800/webadd。

實施風險

低

重要等級

★