Tomcat安全配置小技巧

1.版本:应该从Tomcat官方提供的下载页面下载最新稳定版本,注意不要下载beta版本。Tomcat官网地址为:

http://tomcat.apache.org/

2.使用非root启动:Tomcat禁止以系统root账户启动,需新建普通用户用于启动Tomcat。检查tomcat启动进程账户可以通过ps aux | grep tomcat命令查看。

直接使用非root用户启动tomcat,适用tomcat5/6/7/8,只能监听1024以上的端口,如8080。操作方案步骤如下:

第一步:新建用户

useradd tomcat

第二步:修改tomcat目录属主并赋予权限

chown -R tomcat:tomcat apache-tomcat-*

chmod -R 770 apache-tomcat-*

注:apache-tomcat-* 为tomcat目录名。

第三步:启动tomcat

切换到系统普通用户tomcat去启动tomcat,启动前确保该tomcat已经停止。

cd apache-tomcat-*/bin/

su tomcat

./startup.sh

启动成功后,可以看到tomcat现在已经以tomcat用户权限运行,如下图所示:

该方案的弊端是非root权限只能监听大于1024的端口,所以若想tomcat监听80/443端口并对外,则需要使用iptables或apache/nginx作转发。如iptables规则为:

iptables -A FORWARD -p tcp --destination-port 443 -jACCEPT

iptables -t nat -A PREROUTING -j REDIRECT -p tcp--destination-port 443 --to-ports 8443

iptables -A FORWARD -p tcp --destination-port 80 -jACCEPT

iptables -t nat -A PREROUTING -j REDIRECT -p tcp--destination-port 80 --to-ports 8080

3.删除默认页面:删除tomcat/webapps/目录下的所有文件及目录。目前已知webapps有以下目录:

Tomcat/webapps/docs/

tomcat/webapps/examples/

tomcat/webapps/host-manager/

tomcat/webapps/manager/

tomcat/webapps/ROOT/

4.目录浏览:Tomcat服务器不允许目录遍历,以防止泄漏系统信息及服务器信息。配置项在tomcat/webapps/conf/web.xml文件中,具体配置为:

<param-name>listings</param-name><param-value>false</param-value>注:默认配置为禁止目录浏览

效果截图如下:

5.Tomcat日志记录:编辑server.xml配置文件,确保在<HOST>标签中有记录日志功能,配置如下:

<valve classname=”org.apache.catalina.valves.AccessLogValve”Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt”Pattern=”common” resloveHosts=”false”/>注:默认tomcat已经开启日志记录功能

6.启动安全模式:为了限制脚本的访问权限,防范webshell木马,建议启动时增加安全参数启动,如采用如下方式启动Tomcat

Tomcat/bin/startup.sh -security

注:该选项可以极大的提高web服务器的安全性,但是可能会导致程序因权限不足运行出错的问题,请业务斟酌使用。

7.禁止显示错误信息:Tomcat在程序执行失败时会有错误信息提示,可能泄漏服务器的敏感信息,需要关闭错误提示信息。可以通过指定错误页面的方式不将错误信息显示给用户,修改tomcat/conf/web.xml,增加如下配置项:

<error-page><error-code>500</error-code><location>/500.jsp</location></error-page>注:可以根据需要自行增加相应的错误码,常见的如500,404等,location选项为指定跳转的页面,该jsp文件需要自己生成。

8.删除jspx文件解析:Tomcat默认是可以解析jspx文件格式的后缀,解析jspx给服务器带来了极大的安全风险,若不需要使用jspx文件,建议删除对jspx的解析,具体操作为修改conf/web.xml文件:将如下代码注释掉:

<url-pattern>*.jspx</url-pattern>

9.文件目录权限配置:Web目录和文件属主不能与tomcat启动用户属主相同。如tomcat是以tomcat账号权限启动,则web文件和目录的属组必须是非tomcat账号。

Web目录权限统一设置为755,web文件权限统一设置为644。只有上传目录这类可读可写目录权限统一设置为777 。

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2014-08-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java学习之路

从初识Maven到使用Maven进行依赖管理和项目构建

前些天就安装了Maven,以备自己以后整合项目用,尤其是我们的ssh,ssm项目。想必好多人在开始的时候并不清楚Maven是什么,它能够帮助我们干什么。 所以...

3827
来自专栏PhpZendo

Apache Kafka 在 Windows 系统上设置与运行教程

手把手教你在 Windows 系统安装运行 Apache Zookeeper 和 Apache Kafka 服务。

2412
来自专栏Angular&服务

ionic2 常用命令行

比如我们通过命令行创建一个页面。 ionic g page myPage 之后就会生成如下三个文件:

963
来自专栏抠抠空间

Linux的安装(虚拟机环境)与基础配置

2870
来自专栏北京马哥教育

原创投稿 | Zabbix的编译安装并发送通知邮件

1.写在前面 本文主要介绍的是zabbix的编译安装过程,包含它的基础环境LNMP,虽然zabbix官方一般推荐的环境是LAMP。以及实现简单的监控任务,在发...

3918
来自专栏Python攻城狮

GitHub 系列之「向GitHub 提交代码」1.SSH2.生成SSH key3.GitHub 上添加 SSH key4.Push & Pull5.提交代码

你拥有了一个 GitHub 账号之后,就可以自由的 clone 或者下载其他项目,也可以创建自己的项目,但是你没法提交代码。仔细想想也知道,肯定不可能随意就能提...

792
来自专栏vue学习

vue-cli安装、node-sass安装、mintUI组件库安装

1、使用淘宝npm镜像 在node中很多安装失败的原因就是因为国内网络限制因素,所以使用淘宝镜像有利于解决这方面问题。(使用了翻墙、vpn,用install命...

2943
来自专栏FreeBuf

利用Volatility查找系统中的恶意DLL

昨天看到@白河·愁 发了《Linux下内存取证工具Volatility的使用》,今天恰好看到一篇Volatility利用的文章,文章不长,就翻译了过来。 原文地...

2068
来自专栏JavaEdge

mysql5.6压缩版安装

4026
来自专栏进击的君君的前端之路

如何发布npm包

1322

扫码关注云+社区

领取腾讯云代金券