(1) telnet管理埠保護(強制)
類別配置內容及說明
標準配置
備註telnet管理埠保護
1.修改預設的8005管理埠為不易猜測的埠(大於1024);2.修改shutdown指令為其他字串;
1.以上配置項的配置內容只是建議配置,可以按照服務實際情況進行合理配置,但要求埠配置在8000~8999之間;
(2) ajp連線埠保護(推薦)
類別配置內容及說明
標準配置
備註ajp 連線埠保護
1.修改預設的ajp 8009埠為不易衝突的大於1024埠;2.通過iptables規則限制ajp埠訪問的許可權僅為線上機器;
8528"protocol="ajp/1.3" />
以上配置項的配置內容僅為建議配置,請按照服務實際情況進行合理配置,但要求埠配置在8000~8999之間;;保護此埠的目的在於防止線下的測試流量被mod_jk**至線上tomcat伺服器;
(3) 降權啟動(強制)
類別配置內容及說明
標準配置
備註降權啟動
1.tomcat啟動使用者許可權必須為非root許可權,盡量降低tomcat啟動使用者的目錄訪問許可權;2.如需直接對外使用80埠,可通過普通賬號啟動後,配置iptables規則進行**;
避免一旦tomcat 服務被入侵,黑客直接獲取高階使用者許可權危害整個server的安全;
(4) 檔案列表訪問控制(強制)
類別配置內容及說明
標準配置
備註檔案列表訪問控制
1.conf/web.xml檔案中default部分listings的配置必須為false;
listingsfalse
false為不列出目錄檔案,true為允許列出,預設為false;
(5) 起停指令碼許可權**(推薦)
類別配置內容及說明
標準配置或操作
備註起停指令碼許可權**
去除其他使用者對tomcat的bin目錄下shutdown.sh、startup.sh、catalina.sh的可執行許可權;
chmod -r 744 tomcat/bin/*
防止其他使用者有起停線上tomcat的許可權;
(6) 訪問日誌格式規範(推薦)
conf/server.xml
類別配置內容及說明
標準配置或操作
備註訪問日誌格式規範
開啟tomcat預設訪問日誌中的referer和user-agent記錄
開啟referer和user-agent是為了一旦出現安全問題能夠更好的根據日誌進行問題排查;
ssh安全優化
最近裝了nessus,先掃瞄的當然是自己的伺服器 2的低階漏洞,1個中等的 全是ssh的 ciphers 預設使用這些 aes128 ctr,aes192 ctr,aes256 ctr,arcfour256,arcfour128,aes128 cbc,3des cbc 漏洞提示arcfour,arc...
web安全優化
在進行介面訪問之前沒有實際的介面位址,介面位址是動態變化的,前端在訪問指定界面前先去獲取介面的動態位址,然後根據獲取的位址去訪問真正的介面。1.獲取動態路徑介面,將生成的路徑進行快取,等待在真正介面中取出進行校驗 responsebody needlogin public resultgetseco...
apache安全優化 防盜煉
1 apache防盜煉需要安裝mod rewrite模組 防盜煉安裝實驗如下 一安裝dns服務 yum install bind y配置dns三個配置檔案 vim etc named.conf listen on port 53 更改配置檔案按 allow query vim etc named.r...