打造安全的Tomcat服务器

核心提示： 远程登录我们还可以进一步地渗透，比如通过“远程桌面”登录Web服务器，打造安全的Tomcat服务器(2)，输入命令netstat -ano查看该服务器的3389端口是关闭的，我们可以利用webshell上传一个工具，赋予Tomcat_lw对WebApps文件夹的只读访问权

远程登录

我们还可以进一步地渗透，比如通过“远程桌面”登录Web服务器。输入命令netstat -ano查看该服务器的3389端口是关闭的。我们可以利用webshell上传一个工具，利用其开启Web服务器的远程桌面。最后，我们就可以成功登录系统，至此整个Web沦陷。(图4)

2、安全防范

通过上面的测试可以看到，默认配置下的Tomcat服务器的安全性是非常差的。如何来加固Tomcat服务器的安全性呢?我们从以下几个方面来加强。

(1).服务降权

默认安装时Tomcat是以系统服务权限运行的，因此缺省情况下几乎所有的Web服务器的管理员都具有Administrator权限这和IIS不同，存在极大的安全隐患，所以我们的安全设置首先从Tomcat服务降权开始。

首先创建一个普通用户，为其设置密码，将其密码策略设置为“密码永不过期”，比如我们创建的用户为Tomcat_lw。然后修改Tomcat安装文件夹的访问权限，为Tomcat_lw赋予Tomcat文件夹的读、写、执行的访问权限，赋予Tomcat_lw对WebApps文件夹的只读访问权限，如果某些Web应用程序需要写访问权限，单独为其授予对那个文件夹的写访问权限。(图5)