Tomcat安全加固

发布时间:2020-05-28 14:39:31 作者:netexr
来源:网络 阅读:8751

这次的安全加固,Tomcat是重灾区。所以整理下Tomcat的安全加固。


1. 升级到最新稳定版,这个是老生常谈了。目前Tomcat支持6.0和7.0两个版本。


1) 出于稳定性考虑,不建议进行跨版本升级,如果之前是6.0系列版本,最好还是使用该系列的最新版本。


2) 在统计目录部署最新的Tomcat,将conf目录下的文件和webapp复制过来,之后修改server.xml,修改监听端口进行测试,无误后关闭Tomcat并改回端口。接下来就可以在发布的时候停止旧的Tomcat并开启新的Tomcat,至此升级完毕。


2. 从监听端口上加固


1) 如果Tomcat不需要对外提供服务,则监听在本地回环,前面放Nginx。如果需要对外提供访问,比如一个Nginx挂多个Tomcat,那么在服务器上用iptables只允许负载均衡器的IP来访问

<Connector port="8080" address="127.0.0.1"
               maxHttpHeaderSize="8192" URIEncoding="UTF-8"
               maxThreads="500" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" redirectPort="8443" acceptCount="100"
               connectionTimeout="10000" disableUploadTimeout="true" />

2) 现在我们一般不用Apache通过AJP协议来调用Tomcat了,所以AJP端口可以关闭。

<!--
    <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
-->


3) 在新版的Tomcat中,SHUTDOWN端口默认就是监听在127.0.0.1的,所以不需要修改。如果还想加固,那可以把SHUTDOWN换成其它的字符串。


<Server port="8005" shutdown="YourString">


3. 自定义错误页面,隐藏Tomcat信息


编辑conf/web.xml,在</web-app>标签上添加以下内容:

<error-page>
    <error-code>404</error-code>
    <location>/404.html</location>
</error-page>
<error-page>
    <error-code>500</error-code>
    <location>/500.html</location>
</error-page>


4. 禁用Tomcat管理页面


1) 删除webapps目录下Tomcat原有的所有内容


2) 删除conf/Catalina/localhost/下的host-manager.xml和manager.xml这两个文件


5. 用普通用户启动Tomcat


useradd -M -s /bin/false tomcat
chown -R tomcat.tomcat /usr/local/src/apache-tomcat-6.0.37
su - tomcat -c "/usr/local/src/apache-tomcat-6.0.37/bin/catalina.sh start"


6. 禁止Tomcat列目录

这在新版本中默认就是禁用的,可以在conf/web.xml中编辑

<init-param>
    <param-name>listings</param-name>
    <param-value>false</param-value>
</init-param>


推荐阅读:
  1. ssh安全加固
  2. Bash漏洞安全加固

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

tomcat安全加固 omc tomca

上一篇:关于不修改android:debuggable进行动态调试

下一篇:API的三种调式方法:单元测试、Swagger、Postman调试

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》