2、安全防范

　　通過上面的測試可以看到，默認(rèn)配置下的Tomcat服務(wù)器的安全性是非常差的。如何來加固Tomcat服務(wù)器的安全性呢?我們從以下幾個方面來加強。

　　(1).服務(wù)降權(quán)

　　默認(rèn)安裝時Tomcat是以系統(tǒng)服務(wù)權(quán)限運行的，因此缺省情況下幾乎所有的Web服務(wù)器的管理員都具有Administrator權(quán)限這和IIS不同，存在極大的安全隱患，所以我們的安全設(shè)置首先從Tomcat服務(wù)降權(quán)開始。

　　首先創(chuàng)建一個普通用戶，為其設(shè)置密碼，將其密碼策略設(shè)置為“密碼永不過期”，比如我們創(chuàng)建的用戶為Tomcat_lw。然后修改Tomcat安裝文件夾的訪問權(quán)限，為Tomcat_lw賦予Tomcat文件夾的讀、寫、執(zhí)行的訪問權(quán)限，賦予Tomcat_lw對WebApps文件夾的只讀訪問權(quán)限，如果某些Web應(yīng)用程序需要寫訪問權(quán)限，單獨為其授予對那個文件夾的寫訪問權(quán)限。(圖5)


“開始→運行”，輸入services.msc打開服務(wù)管理器，找到Apache Tomcat服務(wù)，雙擊打開該服務(wù)，在其實屬性窗口中點擊“登錄”選項卡，在登錄身份下選中“以此帳戶”，然后在文本框中輸入Tomcat_lw和密碼，最后“確定”并重啟服務(wù)器。這樣Tomcat就以Tomcat_lw這個普通用戶的權(quán)限運行。(圖6)

有的時候，我們需要在命令行下運行Tomcat，這時候可以在命令下輸入命令runas /user:tomcat_lw cmd.exe回車后并輸入密碼，這樣就開啟一個Tomcat_lw權(quán)限的命令行。最后定位到Tomcat的bin文件夾下，輸入命令tomcat6.exe即以Tomcat_lw在命令行下啟動Tomcat。(圖7)

這樣普通用戶Tomcat_lw運行的Tomcat其權(quán)限就大大地降低了，就算是攻擊者獲得了Webshell也不能進一步深入，從而威脅web服務(wù)器的安全。

　　(2).更改端口

　　Tomcat的默認(rèn)端口是8080，攻擊者可以據(jù)此運行掃描工具進行端口掃描，從而獲取部署了Tomcat的Web服務(wù)器然后實施攻擊。因此，為了安全期間我們可以修改此默認(rèn)端口。在Tomcat的安裝路徑的conf目錄下找到server.xml文件，用記事本打開然后搜索8080找到對應(yīng)的字段，然后將8080自行修改為另外的數(shù)字。另外，需要說明的是connectionTimeout="20000"是連接超時，maxThreads="150"是最大線程類似這樣的參數(shù)也可以根據(jù)需要進行修改。(圖8)

最新評論