Tomcat安全配置小技巧

1.版本:应该从Tomcat官方提供的下载页面下载最新稳定版本,注意不要下载beta版本。Tomcat官网地址为:

http://tomcat.apache.org/

2.使用非root启动:Tomcat禁止以系统root账户启动,需新建普通用户用于启动Tomcat。检查tomcat启动进程账户可以通过ps aux | grep tomcat命令查看。

直接使用非root用户启动tomcat,适用tomcat5/6/7/8,只能监听1024以上的端口,如8080。操作方案步骤如下:

第一步:新建用户

useradd tomcat

第二步:修改tomcat目录属主并赋予权限

chown -R tomcat:tomcat apache-tomcat-*

chmod -R 770 apache-tomcat-*

注:apache-tomcat-* 为tomcat目录名。

第三步:启动tomcat

切换到系统普通用户tomcat去启动tomcat,启动前确保该tomcat已经停止。

cd apache-tomcat-*/bin/

su tomcat

./startup.sh

启动成功后,可以看到tomcat现在已经以tomcat用户权限运行,如下图所示:

该方案的弊端是非root权限只能监听大于1024的端口,所以若想tomcat监听80/443端口并对外,则需要使用iptables或apache/nginx作转发。如iptables规则为:

iptables -A FORWARD -p tcp --destination-port 443 -jACCEPT

iptables -t nat -A PREROUTING -j REDIRECT -p tcp--destination-port 443 --to-ports 8443

iptables -A FORWARD -p tcp --destination-port 80 -jACCEPT

iptables -t nat -A PREROUTING -j REDIRECT -p tcp--destination-port 80 --to-ports 8080

3.删除默认页面:删除tomcat/webapps/目录下的所有文件及目录。目前已知webapps有以下目录:

Tomcat/webapps/docs/

tomcat/webapps/examples/

tomcat/webapps/host-manager/

tomcat/webapps/manager/

tomcat/webapps/ROOT/

4.目录浏览:Tomcat服务器不允许目录遍历,以防止泄漏系统信息及服务器信息。配置项在tomcat/webapps/conf/web.xml文件中,具体配置为:

<param-name>listings</param-name><param-value>false</param-value>注:默认配置为禁止目录浏览

效果截图如下:

5.Tomcat日志记录:编辑server.xml配置文件,确保在<HOST>标签中有记录日志功能,配置如下:

<valve classname=”org.apache.catalina.valves.AccessLogValve”Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt”Pattern=”common” resloveHosts=”false”/>注:默认tomcat已经开启日志记录功能

6.启动安全模式:为了限制脚本的访问权限,防范webshell木马,建议启动时增加安全参数启动,如采用如下方式启动Tomcat

Tomcat/bin/startup.sh -security

注:该选项可以极大的提高web服务器的安全性,但是可能会导致程序因权限不足运行出错的问题,请业务斟酌使用。

7.禁止显示错误信息:Tomcat在程序执行失败时会有错误信息提示,可能泄漏服务器的敏感信息,需要关闭错误提示信息。可以通过指定错误页面的方式不将错误信息显示给用户,修改tomcat/conf/web.xml,增加如下配置项:

<error-page><error-code>500</error-code><location>/500.jsp</location></error-page>注:可以根据需要自行增加相应的错误码,常见的如500,404等,location选项为指定跳转的页面,该jsp文件需要自己生成。

8.删除jspx文件解析:Tomcat默认是可以解析jspx文件格式的后缀,解析jspx给服务器带来了极大的安全风险,若不需要使用jspx文件,建议删除对jspx的解析,具体操作为修改conf/web.xml文件:将如下代码注释掉:

<url-pattern>*.jspx</url-pattern>

9.文件目录权限配置:Web目录和文件属主不能与tomcat启动用户属主相同。如tomcat是以tomcat账号权限启动,则web文件和目录的属组必须是非tomcat账号。

Web目录权限统一设置为755,web文件权限统一设置为644。只有上传目录这类可读可写目录权限统一设置为777 。

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2014-08-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏张善友的专栏

LINQ via C# 系列文章

LINQ via C# Recently I am giving a series of talk on LINQ. the name “LINQ via C...

2645
来自专栏张善友的专栏

Miguel de Icaza 细说 Mix 07大会上的Silverlight和DLR

Mono之父Miguel de Icaza 详细报道微软Mix 07大会上的Silverlight和DLR ,上面还谈到了Mono and Silverligh...

2717
来自专栏跟着阿笨一起玩NET

c#实现打印功能

2762
来自专栏我和未来有约会

Silverlight第三方控件专题

这里我收集整理了目前网上silverlight第三方控件的专题,若果有所遗漏请告知我一下。 名称 简介 截图 telerik 商 RadC...

4025
来自专栏Ceph对象存储方案

Luminous版本PG 分布调优

Luminous版本开始新增的balancer模块在PG分布优化方面效果非常明显,操作也非常简便,强烈推荐各位在集群上线之前进行这一操作,能够极大的提升整个集群...

3145
来自专栏pangguoming

Spring Boot集成JasperReports生成PDF文档

由于工作需要,要实现后端根据模板动态填充数据生成PDF文档,通过技术选型,使用Ireport5.6来设计模板,结合JasperReports5.6工具库来调用渲...

1.2K7
来自专栏陈仁松博客

ASP.NET Core 'Microsoft.Win32.Registry' 错误修复

今天在发布Asp.net Core应用到Azure的时候出现错误InvalidOperationException: Cannot find compilati...

4868
来自专栏魂祭心

原 canvas绘制clock

4084
来自专栏张善友的专栏

Mix 10 上的asp.net mvc 2的相关Session

Beyond File | New Company: From Cheesy Sample to Social Platform Scott Hansel...

2577
来自专栏C#

DotNet加密方式解析--非对称加密

    新年新气象,也希望新年可以挣大钱。不管今年年底会不会跟去年一样,满怀抱负却又壮志未酬。(不过没事,我已为各位卜上一卦,卦象显示各位都能挣钱...)...

4878

扫码关注云+社区