tomcat安全加固

本文基于tomcat8.0.24

1、删除文档和示例程序

【操作目的】删除示例文档

【加固方法】删除webapps/docs、examples、manager、ROOT、host-manager

【是否实施】是

2、禁止列目录

【操作目的】防止直接访问目录时由于找不到默认页面而列出目录下的文件

【加固方法】打开web.xml,将<param-name>listings</param-name> 改成<param-name>false</param-name>

【是否实施】

3、禁止使用root用户运行

【操作目的】以普通用户运行,增加安全性

【加固方法】以admin用户运行tomcat程序

【是否实施】是

4、开启日志审核

【操作目的】检查tomcat的访问日志

【加固方法】独立运行的tomcat,修改conf/server.xml,取消注释

                    <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"   

                    prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/> 

                    启用access_log后,重启tomcat,在tomcat_home/logs中可以看到访问日志。

【是否实施】是

5、修改默认访问端口

【操作目的】修改默认的8080端口

【加固方法】conf/server.xml把8080改成任意端口

【是否实施】是

6、tomcat默认帐号安全

【操作目的】禁用tomcat默认帐号

【加固方法】conf/tomcat-user.xml中的所有用户的注释掉

                     <!--

                     <role rolename="tomcat"/>

                     <role rolename="role1"/>

                     <user username="tomcat" password="tomcat" roles="tomcat"/>

                     <user username="both" password="tomcat" roles="tomcat,role1"/>

                     <user username="role1" password="tomcat" roles="role1"/>

                      -->

【是否实施】是

7、重定向错误页面

【操作目的】修改访问tomcat错误页面的返回信息

【加固方法】conf/web.xml在倒数第1行之前加

                     <error-page>      

                             <error-code>401</error-code>              

                             <location>/401.htm</location>          

                     </error-page>          

                     <error-page>    

                             <error-code>404</error-code>        

                             <location>/404.htm</location>          

                     </error-page>  

                     <error-page>    

                             <error-code>500</error-code>  

                             <location>/500.htm</location>      

                      </error-page> 

                    然后在webapps\manger目录中创建相应的401.html\404.htm\500.htm文件

【是否实施】是

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏xdecode

Windows中根据端口定位持有者程序

之前被一个问题所困扰, 电脑过一段时间就无法上网, 查询netstat, 会有大量的端口被占用, 但是看不出来是哪个程序开启的 ( 最终定位到是ADSafe搞得...

1967
来自专栏linux运维学习

linux学习第三十六篇:MariaDB安装,Apache安装

MariaDB安装 将待会下载的源码包放到这个目录下: cd /usr/local/src 下载源码包: wget https://downloads...

2318
来自专栏运维小白

电脑提示没有权限在此保存文件

背景: 在更改hosts文件并保存的时候,提示没有权限在此位置保存文件 解决方法: 在开始菜单,搜索框中输入运行,找到运行框 然后在运行运行框中输入...

2199
来自专栏HadesMo

调用对象存储Put Object接口上传文件

4846
来自专栏向治洪

Android重命名包名

工程写的差不多了才发现原来用的包名还是自己尝试性的进行写代码的时候用到的。但apk的发布,google map api的申请等等方面都需要用到一个比较规范的包...

2289
来自专栏阿炬.NET

Windows Server 2008 R2 安装 media Service 部分更新没有安装 KB963697

3046
来自专栏运维小白

解决开启vmware虚拟机后,出现“该

在使用VMware虚拟机的时候,有时会发现打开虚拟机时提示“该虚拟机似乎正在使用中。如果该虚拟机未在使用,请按“获取所有权(T)”按钮获取它的所有权。否则,请...

29010
来自专栏noteless

vm12 安装ubuntu15.10详细图文教程 虚拟机安装ubuntu安装 ubuntu更新软件 ubuntu一直卡在下载语言怎么办?

这一步一般这样子就可以了,也可以默认的1  1  一般都可以跑起来具体的看自身电脑的配置

4681
来自专栏小尘哥的专栏

一分钟系列----mybatis plus之逻辑删除

MP(mybatis plus)已经大大简化了我们好多的开发操作,基本的增删改查都有了,包括代码生成等等,今天想说的是它的逻辑删除功能。我们都在数据库设计时候经...

2133
来自专栏前端新视界

关于 Angular 跨域请求携带 Cookie 的问题

3384

扫码关注云+社区

领取腾讯云代金券