3 Web伺服器安全加強

3 Web伺服器安全加強

3.1 啟用日志記錄功能

3.2 HTTPS協定

3.3 Tomcat錯誤頁面重定向

3.4 禁止tomcat清單顯示檔案

表2-1 Linux安裝後檔案路徑

表2-2 Linux下全局配置檔案可能位置

實施目的

Web伺服器應配置日志功能，對使用者登入進行記錄，記錄内容包括使用者登入使用的賬号、登入是否成功、登入時間以及遠端登入時使用者使用的IP位址。

問題影響

無法對使用者的登陸進行日志記錄。

系統目前狀态

系統未配置日志記錄。

實施步驟

編輯server.xml配置檔案，在<HOST>标簽中增加記錄日志功能

将以下内容的注釋标記< ! --    -- >取消

<valve classname="org.apache.catalina.valves.AccessLogValve" 

Directory="logs" prefix="localhost_access_log." Suffix=".txt" 

Pattern="common" resloveHosts="false"/>

classname：必須被設定為

“org.apache.catalina.valves.AccessLogValve to use the default access log valve. &<60”；

Directory：日志檔案放置的目錄，在tomcat下面有個logs檔案夾，那裡面是專門放置日志檔案的，也可以修改為其他路徑；

Prefix: 日志檔案的名稱字首，如日志名稱為“localhost_access_log.2008-10-22.txt”，字首就是本例中設定的“localhost_access_log”；

Suffix: 檔案字尾名；

Pattern: common方式時，将記錄通路源IP、本地伺服器IP、記錄日志伺服器IP、通路方式、發送位元組數、本地接收端口、通路URL位址等相關資訊在日志檔案中；

resolveHosts:值為true時，tomcat會将這個伺服器IP位址通過DNS轉換為主機名，如果是false，就直接寫伺服器IP位址。

回退方案

還原server.xml。

判斷依據

登入web伺服器後，檢查相關資訊是否被日志記錄。

實施風險

低

重要等級

對于通過HTTP協定進行遠端維護的裝置，裝置應支援使用HTTPS等加密協定。

增加Web資料傳輸安全隐患。

系統未配置HTTPS加密協定。

1、使用JDK自帶的keytool工具生成一個證書：

JAVA_HOME/bin/keytool  -genkey –alias tomcat –keyalg  RSA -keystore /path/to/my/keystore

2、修改tomcat/conf/server.xml配置檔案，更改為使用https方式，增加如下行：

<Connector classname="org.apache.catalina.http.HttpConnector" port="443"  minProcessors="5"  maxprocessors="100" enableLookups="true"  acceptCount="10"  debug="0"scheme="https" secure="true" > 

< Factory classname="org.apache.catalina.SSLServerSocketFactory" clientAuth="false" keystoreFile="/path/to/my/keystore" keystorePass="runway" protocol="TLS"/> 

< /Connector>

更改Tomcat錯誤頁面并重定向頁面,增加系統安全性。

出現錯誤時系統可能會将錯誤堆棧資訊列印到頁面，使得攻擊人員可以根據錯誤資訊進行有效的攻擊。

系統未配置錯誤重定向頁面。

配置tomcat/conf/web.xml檔案，在最後</web-app>之前加入以下内容：

<error-page>   

< error-code>404</error-code> 

< location>/noFile.htm</location>   

< /error-page>  

……………  

< error-page> 

< exception-type>java.lang.NullPointerException</exception-type> 

< location>/error.jsp</location>  </error-page>

第一個<error-page></error-page>之間的配置實作了将404未找到jsp網頁的錯誤導向noFile.htm頁面，也可以用類似方法添加其多的錯誤代碼導向頁面，如403,500等。

第二個<error-page></error-page>之間的配置實作了當jsp網頁出現java.lang.NullPointerException導常時，轉向error.jsp錯誤頁面。

URL位址欄中輸入“http://ip:80/manager123”檢視傳回界面。

高

禁止tomcat清單顯示檔案,增加系統安全性。

不安全性增加。

系統未配置禁止tomcat清單顯示檔案。

編輯tomcat/conf/web.xml配置檔案，

<init-param> 

        <param-name>listings</param-name> 

        <param-value>true</param-value> 

< /init-param>

把true改成false。重新啟動tomcat服務。

直接通路http://ip:8800/webadd。

本文轉自 Mr_sheng 51CTO部落格，原文連結:http://blog.51cto.com/sf1314/2064736