tomcat安全加固

安全加固,Tomcat是重灾区。所以整理下Tomcat的安全加固。

1. 升级到最新稳定版,这个是老生常谈了。目前Tomcat支持6.0和7.0两个版本。

1) 出于稳定性考虑,不建议进行跨版本升级,如果之前是6.0系列版本,最好还是使用该系列的最新版本。

2) 在统计目录部署最新的Tomcat,将conf目录下的文件和webapp复制过来,之后修改server.xml,修改监听端口进行测试,无误后关闭Tomcat并改回端口。接下来就可以在发布的时候停止旧的Tomcat并开启新的Tomcat,至此升级完毕。

2. 从监听端口上加固

1) 如果Tomcat不需要对外提供服务,则监听在本地回环,前面放Nginx。如果需要对外提供访问,比如一个Nginx挂多个Tomcat,那么在服务器上用iptables只允许负载均衡器的IP来访问

<connector port=”8080″ address=”127.0.0.1″ <=”” div=””>

               maxHttpHeaderSize=”8192″ URIEncoding=”UTF-8″

               maxThreads=”500″ minSpareThreads=”25″ maxSpareThreads=”75″

               enableLookups=”false” redirectPort=”8443″ acceptCount=”100″

               connectionTimeout=”10000″ disableUploadTimeout=”true” />

</connector port=”8080″ address=”127.0.0.1″>

2) 现在我们一般不用Apache通过AJP协议来调用Tomcat了,所以AJP端口可以关闭。

3) 在新版的Tomcat中,SHUTDOWN端口默认就是监听在127.0.0.1的,所以不需要修改。如果还想加固,那可以把SHUTDOWN换成其它的字符串。

<server port=”8005″ shutdown=”yourstring”> </server port=”8005″ shutdown=”yourstring”>

3. 自定义错误页面,隐藏Tomcat信息

编辑conf/web.xml,在标签上添加以下内容:

    404

    /404.html

    500

    /500.html

4. 禁用Tomcat管理页面

1) 删除webapps目录下Tomcat原有的所有内容

2) 删除conf/Catalina/localhost/下的host-manager.xml和manager.xml这两个文件

5. 用普通用户启动Tomcat

useradd -M -s /bin/false tomcat

chown -R tomcat.tomcat /usr/local/src/apache-tomcat-6.0.37

su – tomcat -c “/usr/local/src/apache-tomcat-6.0.37/bin/catalina.sh start”

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏超然的博客

web攻击

  最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可...

1331
来自专栏用户2442861的专栏

Nginx工作原理和优化、漏洞。

http://blog.csdn.net/hguisu/article/details/8930668 (排名100多bolg写的很好)

1.2K2
来自专栏慎独

如何在Github上给别人的项目贡献代码

1384
来自专栏云计算教程系列

如何在Ubuntu 16.04上安装和使用Byobu进行终端管理

Byobu是一个易于使用的tmux(或screen)终端多路复用器包装器。这意味着它可以让您轻松打开多个窗口并在单个终端连接中运行多个命令。

2620
来自专栏Java3y

Linux用户和权限管理看了你就会用啦

没想到上一篇能在知乎获得千赞呀,Linux也快期末考试了,也有半个月没有写文章了。这篇主要将Linux下的用户和权限知识点再整理一下。

2.6K1
来自专栏北京马哥教育

ansible基础应用

一、运维主要工作 ? ansible聚集以上功能于一身,能够完整轻易的实现应用部署和批量命令功能,适用于主机数量不太多,再大的用puppet。 二、ansib...

3797
来自专栏极客猴

Android中广播实践小结

Android系统有一套广播消息机制,方便进行每个应用程序之间的消息通知。而且广播接受者作为Android四大组件之一,经常被使用到。我也接触到广播消息机制,因...

591
来自专栏IT笔记

Grafana+Telegraf+Influxdb监控Tomcat集群方案

前一段时间自家养的几只猫经常出问题,由于没有有效的监控预警手段,以至于问题出现或者许久一段时间才会被通知到。凌晨一点这个锅可谁都不想背,为此基于目前的情况搭建了...

2681
来自专栏Wordpress专用主机|主题模板|必备插件

如何使用Elementor插件制作Wordrpess首页?

之前推荐过一款广受好评的wordpress页面构建编辑插件:Elementor,由于其功能过于强大,编辑出的页面也很美观。很多wp爱好者不禁要问一下:可以使用E...

5K9
来自专栏逢魔安全实验室

中间件安全-Tomcat安全测试概要

关注我们,掌握成员招募最新动态! Web安全中很重要的一个部分就是中间件的安全问题,而中间件的安全问题主要来源于两部分,一个是中间件本身由于设计缺...

4738

扫码关注云+社区

领取腾讯云代金券