Tomcat安全配置小技巧

1.版本:应该从Tomcat官方提供的下载页面下载最新稳定版本,注意不要下载beta版本。Tomcat官网地址为:

http://tomcat.apache.org/

2.使用非root启动:Tomcat禁止以系统root账户启动,需新建普通用户用于启动Tomcat。检查tomcat启动进程账户可以通过ps aux | grep tomcat命令查看。

直接使用非root用户启动tomcat,适用tomcat5/6/7/8,只能监听1024以上的端口,如8080。操作方案步骤如下:

第一步:新建用户

useradd tomcat

第二步:修改tomcat目录属主并赋予权限

chown -R tomcat:tomcat apache-tomcat-*

chmod -R 770 apache-tomcat-*

注:apache-tomcat-* 为tomcat目录名。

第三步:启动tomcat

切换到系统普通用户tomcat去启动tomcat,启动前确保该tomcat已经停止。

cd apache-tomcat-*/bin/

su tomcat

./startup.sh

启动成功后,可以看到tomcat现在已经以tomcat用户权限运行,如下图所示:

该方案的弊端是非root权限只能监听大于1024的端口,所以若想tomcat监听80/443端口并对外,则需要使用iptables或apache/nginx作转发。如iptables规则为:

iptables -A FORWARD -p tcp --destination-port 443 -jACCEPT

iptables -t nat -A PREROUTING -j REDIRECT -p tcp--destination-port 443 --to-ports 8443

iptables -A FORWARD -p tcp --destination-port 80 -jACCEPT

iptables -t nat -A PREROUTING -j REDIRECT -p tcp--destination-port 80 --to-ports 8080

3.删除默认页面:删除tomcat/webapps/目录下的所有文件及目录。目前已知webapps有以下目录:

Tomcat/webapps/docs/

tomcat/webapps/examples/

tomcat/webapps/host-manager/

tomcat/webapps/manager/

tomcat/webapps/ROOT/

4.目录浏览:Tomcat服务器不允许目录遍历,以防止泄漏系统信息及服务器信息。配置项在tomcat/webapps/conf/web.xml文件中,具体配置为:

<param-name>listings</param-name><param-value>false</param-value>注:默认配置为禁止目录浏览

效果截图如下:

5.Tomcat日志记录:编辑server.xml配置文件,确保在<HOST>标签中有记录日志功能,配置如下:

<valve classname=”org.apache.catalina.valves.AccessLogValve”Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt”Pattern=”common” resloveHosts=”false”/>注:默认tomcat已经开启日志记录功能

6.启动安全模式:为了限制脚本的访问权限,防范webshell木马,建议启动时增加安全参数启动,如采用如下方式启动Tomcat

Tomcat/bin/startup.sh -security

注:该选项可以极大的提高web服务器的安全性,但是可能会导致程序因权限不足运行出错的问题,请业务斟酌使用。

7.禁止显示错误信息:Tomcat在程序执行失败时会有错误信息提示,可能泄漏服务器的敏感信息,需要关闭错误提示信息。可以通过指定错误页面的方式不将错误信息显示给用户,修改tomcat/conf/web.xml,增加如下配置项:

<error-page><error-code>500</error-code><location>/500.jsp</location></error-page>注:可以根据需要自行增加相应的错误码,常见的如500,404等,location选项为指定跳转的页面,该jsp文件需要自己生成。

8.删除jspx文件解析:Tomcat默认是可以解析jspx文件格式的后缀,解析jspx给服务器带来了极大的安全风险,若不需要使用jspx文件,建议删除对jspx的解析,具体操作为修改conf/web.xml文件:将如下代码注释掉:

<url-pattern>*.jspx</url-pattern>

9.文件目录权限配置:Web目录和文件属主不能与tomcat启动用户属主相同。如tomcat是以tomcat账号权限启动,则web文件和目录的属组必须是非tomcat账号。

Web目录权限统一设置为755,web文件权限统一设置为644。只有上传目录这类可读可写目录权限统一设置为777 。

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2014-08-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏陈树义

Eclipse开发工具及其插件安装

一开始学习Java的时候使用的是记事本,后来用的是JCreator,再后来是Eclipse。 最后因为学习Web开发,直接从Eclipse跳到MyEclipse...

2906
来自专栏JetpropelledSnake

网络安全之在Kali Linux上安装Openvas

本文目录:   一、解决和配置更新源问题   二、安装Openvas   三、自定义登陆密码   四、升级Openvas    五、查看Openvas运行情况 ...

3095
来自专栏电光石火

centos6.5使用yum安装mysql

要使用yum 安装mysql,要使用mysql的yum仓库,先从官网下载适合你系统的仓库 http://dev.mysql.com/downloads/re...

1905
来自专栏电光石火

centos下完全卸载mysql

yum方式安装的mysql 1、yum remove mysql mysql-server mysql-libs compat-mysql51 2...

1975
来自专栏电光石火

centos下完全卸载mysql

1、yum remove mysql mysql-server mysql-libs compat-mysql51

2375
来自专栏Python攻城狮

通过pycharm的Database设置进行数据库的可视化

832
来自专栏Angular&服务

Angular CLI 常用终端操作命令

初始化创建项目时,自动添加了 <code> @angular/router </code> ,自动添加到package.json 文件中

784
来自专栏搜云库

Spring Cloud(十)高可用的分布式配置中心 Spring Cloud Config 中使用 Refresh

上一篇文章讲了SpringCloudConfig 集成Git仓库,配和 Eureka 注册中心一起使用,但是我们会发现,修改了Git仓库的配置后,需要重启服务,...

18710
来自专栏电光石火

centos6.5使用yum安装mysql

要使用yum 安装mysql,要使用mysql的yum仓库,先从官网下载适合你系统的仓库 http://dev.mysql.com/downloads/repo...

1847
来自专栏Linux运维学习之路

MySQL数据库数据信息迁移

环境内核信息: [root@zabbix-01 ~]# uname -a Linux lodboyedu-01 2.6.32-696.el6.x86_64 #1...

1986

扫码关注云+社区