关于java:分享Tomcat安全加固的方法

54次阅读

共计 1468 个字符,预计需要花费 4 分钟才能阅读完成。

在默认配置下其存在肯定的安全隐患,可被歹意攻打。以下是一些平安加固的办法:

降级到最新稳定版,这个是陈词滥调了。目前 Tomcat 反对 6.0 和 7.0 两个版本。
1) 出于稳定性思考,不倡议进行跨版本升级,如果之前是 6.0 系列版本,最好还是应用该系列的最新版本。

2) 在统计目录部署最新的 Tomcat,将 conf 目录下的文件和 webapp 复制过去,之后批改 server.xml,批改监听端口进行测试,无误后敞开 Tomcat 并改回端口。接下来就能够在公布的时候进行旧的 Tomcat 并开启新的 Tomcat,至此降级结束。

2、从监听端口上加固

1) 如果 Tomcat 不须要对外提供服务,则监听在本地回环,后面放 Nginx。如果须要对外提供拜访,比方一个 Nginx 挂多个 Tomcat,那么在服务器上用 iptables 只容许负载均衡器的 IP 来拜访

<Connector port="8080" address="127.0.0.1"

maxHttpHeaderSize="8192" URIEncoding="UTF-8"

maxThreads="500" minSpareThreads="25" maxSpareThreads="75"

enableLookups="false" redirectPort="8443" acceptCount="100"

connectionTimeout="10000" disableUploadTimeout="true" />

2) 当初咱们个别不必 Apache 通过 AJP 协定来调用 Tomcat 了,所以 AJP 端口能够敞开。

<!–

<Connector port=”8009″ protocol=”AJP/1.3″ redirectPort=”8443″ />

–>

3) 在新版的 Tomcat 中,SHUTDOWN 端口默认就是监听在 127.0.0.1 的,所以不须要批改。如果还想加固,那能够把 SHUTDOWN 换成其它的字符串。

<Server port=”8005″ shutdown=”YourString”>

3、自定义谬误页面,暗藏 Tomcat 信息

编辑 conf/web.xml,在 </web-app> 标签上增加以下内容:

<error-page>

<error-code>404</error-code>

<location>/404.html</location></error-page><error-page>

<error-code>500</error-code>

<location>/500.html</location></error-page>

4、禁用 Tomcat 治理页面

1) 删除 webapps 目录下 Tomcat 原有的所有内容

2) 删除 conf/Catalina/localhost/ 下的 host-manager.xml 和 manager.xml 这两个文件

5、用普通用户启动 Tomcat

useradd -M -s /bin/false tomcatchown -R tomcat.tomcat /usr/local/src/apache-tomcat-6.0.37su - tomcat -c "/usr/local/src/apache-tomcat-6.0.37/bin/catalina.sh start"

6、禁止 Tomcat 列目录

这在新版本中默认就是禁用的,能够在 conf/web.xml 中编辑

<init-param>

<param-name>listings</param-name>

<param-value>false</param-value></init-param>

正文完
 0