服务器中Tomcat安全加固 tomcat服务器的安装与配置
tomcat注册成windows系统服务的后如何增加安全参数
为Tomcat注册的Windows服务增加安全参数
创新互联公司专业为企业提供沐川网站建设、沐川做网站、沐川网站设计、沐川网站制作等企业网站建设、网页设计与制作、沐川企业网站模板建站服务,10年沐川做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。
Tomcat注册成windows系统服务之后,如何增加security
安全参数在dos命令行启动tomcat为:startup.bat
-security,传递了security安全参数,防止用jsp列表服务器上的文件、目录对象,但是注册成系统服务之后,无法为服务增加参数。在网上搜索了很多资料,问类似问题的也不少,但是没有一个解决的。经过自己测试,终于找到了解决办法。为了不让其他网友走自己同样的弯路,特将方法总结一下。在tomcat的bin目录下,有一tomcat5w.exe文件,此工具是监控tomcat服务状态及配置服务的。
打开此工具,切换到java标签页面,在java
options选项里开始加入如下参数:-Djava.security.manager-Djava.security.policy=D:\temp\apache-tomcat-5.5.12\conf\catalina.policy【将目录改为tomcat安装的目录】点击【确定】或者【应用】按钮,保存配置,重新启动服务,即可。
Windows揪出隐藏的“QQ尾巴”
“QQ尾巴”是利用Windows系统下Internet
Explorer的iFrame系统漏洞自动运行的一种恶意木马程序。该木马病毒会偷偷潜藏在用户的系统中,发作时会寻找QQ窗口并给在线QQ好友发送诸如“有我的照片”、“这是一个很不错的网站”或“快去这看看,里面有蛮好的`东西”之类的假消息,诱惑用户点击一个网站,如果有人信以为真点击该链接的话,就会被病毒感染,然后成为毒源,继续传播。用户除了可以下载“QQ尾巴专杀工具”等对其进行查杀外,还可以使用Windows查找工具将它从用户系统中“甩”出去。
用户从开始菜单中选择“查找→文件或文件夹”并打开系统“查找”对话框:
步骤一:切换到“名称与位置”选项卡,在“名称”和“包含文字”框中输入QQ那段“虚假消息”的文字,如一段网址或“一个很不错的网站”等,将“搜索”范围指定到C:WINDOWS并选中“包含子文件夹”选项。
步骤二:切换到“日期”选项卡,选中“查找所有文件”选项并在其右侧下拉菜单列表中选择“创建时间”,在“介于×年×月×日和×年×月×日”选项中选择发现QQ发生异常的上一个可以正常聊天的日期,当然也可以是浏览过QQ信息中虚假网址的当天。
步骤三:进行完上述所有设置后,单击“查找”,Windows查找工具会分别在C:WINDOWS文件夹中找到一个名为Sendmess的应用程序和C:WINDOWSTEMP文件夹中找到一个名为Younv的应用程序,用户在安全模式下将它们进行清除一下即可完成“QQ尾巴”木马病毒的查杀。
Windows系统:开始--运行--命令大全
Windows系统:开始--运行--命令大全
Nslookup-------IP地址侦测器
explorer-------打开资源管理器logoff---------注销命令
tsshutdn-------60秒倒计时关机命令lusrmgr.msc----本机用户和组
services.msc---本地服务设置oobe/msoobe
/a----检查XP是否激活
notepad--------打开记事本cleanmgr-------垃圾整理
net
start
messenger----开始信使服务compmgmt.msc---计算机管理
net
stop
messenger-----停止信使服务conf-----------启动netmeeting
dvdplay--------DVD播放器charmap--------启动字符映射表
diskmgmt.msc---磁盘管理实用程序calc-----------启动计算器
dfrg.msc-------磁盘碎片整理程序chkdsk.exe-----Chkdsk磁盘检查
devmgmt.msc---
设备管理器regsvr32
/u
*.dll----停止dll文件运行
drwtsn32------
系统医生rononce
-p
----15秒关机
dxdiag---------检查DirectX信息regedt32-------注册表编辑器
Msconfig.exe---系统配置实用程序rsop.msc-------组策略结果集
mem.exe--------显示内存使用情况regedit.exe----注册表
winchat--------XP自带局域网聊天progman--------程序管理器
winmsd---------系统信息perfmon.msc----计算机性能监测程序
winver---------检查Windows版本
sfc
/scannow-----扫描错误并复原taskmgr-----任务管理器(2000/xp/2003winver---------检查Windows版本
wmimgmt.msc----打开windows管理体系结构(WMI)
wupdmgr--------windows更新程序
wscript--------windows脚本宿主设置
write----------写字板
winmsd---------系统信息
wiaacmgr-------扫描仪和照相机向导
winchat--------XP自带局域网聊天mem.exe--------显示内存使用情况
Msconfig.exe---系统配置实用程序
Windows文件恢复技巧:误删文件的恢复
如果只能使用Windows本身提供的工具,那么我们可以认为清空回收站之后,被删除的文件已经彻底清除了。不过事实并非如此,只要有专用的硬件和软件,即使数据已经被覆盖、驱动器已经重新格式化、引导扇区彻底损坏,或者磁盘驱动器不再运转,我们还是可以恢复几乎所有的文件。
一、磁盘如何保存数据
要理解如何恢复已删除的数据,首先要搞清楚磁盘如何保存数据。硬盘驱动器里面有一组盘片,数据就保存在盘片的磁道(Trck)上,磁道在盘片上呈同心圆分布,读/写磁头在盘片的表面移动访问硬盘的各个区域,因此文件可以随机地分布到磁盘的各个位置,同一文件的各个部分不一定要顺序存放。
存放在磁盘上的数据以簇为分配单位,簇的大小因操作系统和逻辑卷大小的不同而不同。如果一个硬盘的簇大小是4
K,那么保存1
K的文件也要占用4
K的磁盘空间。大的文件可能占用多达数千、数万的簇,分散到整个磁盘上,操作系统的文件子系统负责各个部分的组织和管理。
当前,Windows支持的硬盘文件系统共有三种。第一种是FAT,即所谓的文件分配表(File
Alloction
Tble),它是最古老的文件系统,从DOS时代开始就已经有了。Windows
95引入了第二种文件系统,即FAT
32,Windows
NT
4.0则引入了第三种文件系统NTFS。这三种文件系统的基本原理都一样,都用一个类似目录的结构来组织文件,目录结构包含一个指向文件首簇的指针,首簇的FAT入口又包含一个指向下一簇地址的指针,依此类推,直至出现文件的结束标记为止。
二、Windows不能真正清除文件
在Windows中,如果我们用常规的办法删除一个文件,文件本身并未被真正清除。例如,如果我们在Windows资源管理器中删除一个文件,Windows会把文件放入回收站,即使我们清空了回收站(或者不启动回收站功能),操作系统也不会真正清除文件的数据。
Windows所谓的删除实际上只是把文件名称的第一个字母改成一个特殊字符,然后把该文件占用的簇标记为空闲状态,但文件包含的数据仍在磁盘上,下次将新的文件保存到磁盘时,这些簇可能被新的文件使用,从而覆盖原来的数据。因此,只要不保存新的文件,被删除文件的数据实际上仍旧完整无缺地保存在磁盘上。
因此,我们可以用工具软件绕过操作系统,直接操作磁盘,恢复被删除的文件。这类工具软件很多,EsyRecovery就是其中的佼佼者。
如果不小心删除了某个重要文件,想要恢复,这时千万不要覆盖它。立即停用计算机,不要再向磁盘保存任何文件,包括不要把恢复工具安装到已删除文件所在的硬盘,因为任何写入磁盘的内容都有可能覆盖已删除文件释放的磁盘簇。如果必须安装恢复工具,可以安装到其他硬盘分区、软盘,或者干脆拆下硬盘到另一台机器上去恢复。
windows_server - windows_server.exe - 进程信息
进程文件: windows_server
或者
windows_server.exe
进程名称:
Bckdoor.Win32.PcClient.jl
描述:
windows_server.exe是Bckdoor.Win32.PcClient.jl木马相关程序,建议立即删除。
this
website
is
about
processinfo
tble
width="530"
border="0"
cellspcing="0"
cellpdding="0"
出品者:
未知N/A
属于:
Bckdoor.Win32.PcClient.jl
系统进程:
否
后台程序:
否
使用网络:
否
硬件相关:
否
常见错误:
未知N/A
内存使用:
未知N/A
安全等级
(0-5):
2
间谍软件:
否
广告软件:
否
病毒:
是
木马:
是
windows-mod - windows-mod.exe - 进程信息
进程文件: windows-mod
或者
windows-mod.exe
进程名称:
Bckdoor.Win32.Rbot.gen
描述:
windows-mod.exe是Bckdoor.Win32.Rbot.gen木马相关程序,建议立即删除。
this
website
is
about
processinfo
tble
width="530"
border="0"
cellspcing="0"
cellpdding="0"
出品者:
未知N/A
属于:
Bckdoor.Win32.Rbot.gen
系统进程:
否
后台程序:
否
使用网络:
否
硬件相关:
否
常见错误:
未知N/A
内存使用:
未知N/A
安全等级
(0-5):
2
间谍软件:
否
广告软件:
否
病毒:
是
木马:
是
tomcat 9 安全加固
Apache Tomcat 9 (9.0.53) - Security Considerations
在tomcat-users.xml中停用所有用户,默认就没开
推荐加固方式:
另一种方法:
还可以设置port属性为 -1 ,关闭 shutdown port
将host节点的autoDeploy属性设置为“false”
如果存在deployOnStartup属性,也将其更改为“false”
server.xml
默认就有如下配置,不用修改
server="" 也行
server.xml
修改Error_Report_Valve属性为 false ,解决报错泄露
添加好host部分
web.xml
修改DefaultServlet 配置 showServerInfo 属性为 false
或者,创建文件 CATALINA_BASE/lib/org/apache/catalina/util/ServerInfo.properties ,内容为:
或者
进入 apache-tomcat-9.0.53/lib/ 目录,执行如下:
如上会从 catalina.jar 解压 org/apache/catalina/util/ServerInfo.properties 文件,文件内容如下:
修改 server.info 和 server.number
执行如下,将 org/apache/catalina/util/ServerInfo.properties 打包进 catalina.jar
编辑web.xml 文件中配置,将readonly 的param-value值设为false
org.apache.catalina.servlets.DefaultServlet的
conf/web.xml
将listings的值设置为false。
conf/web.xml
web-app添加子节点:
在webapps目录下创建 ROOT/404.html ,定义自定义错误信息。范例如下:
添加 64*64 的LOGO到 Tomcat_Home/webapps/ROOT/favicon.ico
如何在服务器上配置tomcat
以下文章内容及软件下载均有郑州景安计算机网络技术有限公司/郑州景安互联网数据中心制作、提供
制作环境:
Windows 2003 + IIS6、jre1.5.0_06、apache-tomcat-5.5.17
首先需要做以下准备工作
1、安装好 Tomcat 和 IIS6,并且都能正常运行
2、Tomcat的端口没做任何修改
3、下载集成需要的文件
-apache-tomcat-5.5.25.exe
-jdk-1_5_0_13-windows-i586-p.exe
-isapi_redirector2.rar
集成步骤
1、配置环境变量 JAVA_HOME 和 TOMCAT_HOME
2、将 isapi_redirector2.dll 文件拷贝到 TOMCAT_HOME 中的任意一个目录中,如:TOMCAT_HOME/iis 此目录需要新建
3、新建一个目录存放站点,如:d:\web 并在其中新建一个 ROOT 目录,此目录作为站点的默认起始目录
4、打开 IIS 控制台,新建一个站点,如果自己有域名的话可以在主机头中输入自己的域名,
如: 这样就不会和原来的默认网站冲突了,现在需要将默认网关停止后再新建
5、新建一个虚拟目录,名称为:jakarta 这个名称不能改变,路径为 TOMCAT_HOME/iis ,也就是放 dll 文件的 目录
打开站点属性窗口,进入 ISAPI 筛选器,点击添加铵钮,在筛选器名称中输入 jakarta ,这个名字也不能修改,所以要注意是否正确,
在可执行文件中选择 TOMCAT_HOME/iis/isapi_redirector2.dll 文件
进入主目录选项卡,在弹出窗口中选择添加,这里对 jsp 文件和 struts 的 do 访问方式进行映射配置,点击添加铵钮,
可执行文件选择 TOMCAT_HOME/iis/isapi_redirector2.dll ,扩展名为 jsp ,同样对 do 也进行配置
6、新增一个 Web 服务扩展,扩展名随意填,如: Tomcat ,要求的文件选择 TOMCAT_HOME/iis/isapi_redirector2.dll ,
选中设置扩展状态为充许项,然后确定
7、拷贝 jk2.properties 、 workers2.properties 两个文件到 TOMCAT_HOME/conf 目录中
jk2.properties 文件内容如下:
request.tomcatAuthentication=false
workers2.properties 文件内容如下:( 以下第二行的文件路径需要根据自己的配置进行修改 )
[shm]
file= d:/Tomcat/logs/jk2.log
size=1048576
# Example socket channel, override port and host.
[channel.socket:localhost:8009]
port=8009
host=127.0.0.1
# define the worker
[ajp13:localhost:8009]
channel=channel.socket:localhost:8009
# Uri mapping
[uri:/*.jsp]
[uri:/*.do]
[uri:/do/*]
worker=ajp13:localhost:8009
# define the worker
[status:status]
# Uri mapping
[uri:/jkstatus/*]
worker=status:status
注意 # Uri mapping 部份,现在已经开通了对jsp文件和struts的两种访问方式,如果还有其它的文件访问需要转到Tomcat来处理的话都在此进行配置
8、现打开注册表文件, 修改绿色字体部份,注意路径表示符
文件内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Apache Software Foundation\Jakarta Isapi Redirector\2.0]
"serverRoot"=" D:\\Tomcat "
"extensionUri"="/jakarta/isapi_redirector2.dll"
"workersFile"=" D:\\Tomcat\\conf\\workers2.properties "
"logLevel"="DEBUG"
修改完成后将导入注册表(双击此文件)
9、修改 tomcat 的配置文件 server.xml
使用以下内容替换原来的 ... 内容, 绿色字体为需要修改的内容
拷贝 Tomcat_Home/webapps/ROOT 下的文件到 web/ROOT 中
重启IIS和Tomcat服务
打开浏览器输入 进行测试,正常的话可以显示 Tomcat 默认的首页
这时再进入到 IIS 的管理工具中查看ISAPI筛选器,这时应该显示一个绿色向上的箭头,如果没有绿色箭头的话应该是有一个红色的向下的箭头,这表明是配置有问题,请检查,如果一个箭头也没有的话应该是没有使用浏览进行测试,只要有一遍测试的话就应该有箭头了
这里配置完成后有一个问题,就是无法使用 直接打开 index.jsp ,
即使是配置了IIS6的默认首页也不行,我采用的方法是使用一个 index.htm 文件来进行跳转,文件内容如下:
!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"";
整个配置基本完成,现在需要解决乱码的问题,如果有遇到乱码问题的话
这里使用的全是 UTF-8
在项目中要使用 UTF-8 的编码,并配置了过滤器,过滤编码也是 UTF-8
修改 Tomcat 的配置文件 server.xml ,在端器配置的地方加入 URIEncoding="UTF-8"
如:
Connector URIEncoding="UTF-8"
port="8080" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" redirectPort="8443" acceptCount="100"
connectionTimeout="20000" disableUploadTimeout="true" /
这里是Tomcat使用的编码,还要配置集成时使用的编码,因为集成时使用的端口为 8009 所以在配置8009端口的地方也要加入 URIEncoding="UTF-8"
如:
Connector URIEncoding="UTF-8"
port="8009"
enableLookups="false" redirectPort="8443" protocol="AJP/1.3" /
好了,重启 IIS 服务和 Tomcat 服务,整个集成工作就完成了
在这里我无法对乱码问题进行测试,这是我在开发时所发现并已经解决的方法,希望对大家有用。
现在服务器上安装有TOMCAT,被扫描出安全漏洞,需要通过打补丁来解决,谁知道?
1、TOMCAT很少有漏洞,最近好像只有manager有漏洞,删了就是了
2、TOMCAT没有补丁的,只能下载新的版本覆盖原版本
3、覆盖前备份一下配置文件,覆盖后,把配置文件copy过去即可
本文题目:服务器中Tomcat安全加固 tomcat服务器的安装与配置
网站地址:http://ybzwz.com/article/ddodsgo.html