共计 1468 个字符,预计需要花费 4 分钟才能阅读完成。
在默认配置下其存在肯定的安全隐患,可被歹意攻打。以下是一些平安加固的办法:
降级到最新稳定版,这个是陈词滥调了。目前 Tomcat 反对 6.0 和 7.0 两个版本。
1) 出于稳定性思考,不倡议进行跨版本升级,如果之前是 6.0 系列版本,最好还是应用该系列的最新版本。
2) 在统计目录部署最新的 Tomcat,将 conf 目录下的文件和 webapp 复制过去,之后批改 server.xml,批改监听端口进行测试,无误后敞开 Tomcat 并改回端口。接下来就能够在公布的时候进行旧的 Tomcat 并开启新的 Tomcat,至此降级结束。
2、从监听端口上加固
1) 如果 Tomcat 不须要对外提供服务,则监听在本地回环,后面放 Nginx。如果须要对外提供拜访,比方一个 Nginx 挂多个 Tomcat,那么在服务器上用 iptables 只容许负载均衡器的 IP 来拜访
<Connector port="8080" address="127.0.0.1"
maxHttpHeaderSize="8192" URIEncoding="UTF-8"
maxThreads="500" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" redirectPort="8443" acceptCount="100"
connectionTimeout="10000" disableUploadTimeout="true" />
2) 当初咱们个别不必 Apache 通过 AJP 协定来调用 Tomcat 了,所以 AJP 端口能够敞开。
<!–
<Connector port=”8009″ protocol=”AJP/1.3″ redirectPort=”8443″ />
–>
3) 在新版的 Tomcat 中,SHUTDOWN 端口默认就是监听在 127.0.0.1 的,所以不须要批改。如果还想加固,那能够把 SHUTDOWN 换成其它的字符串。
<Server port=”8005″ shutdown=”YourString”>
3、自定义谬误页面,暗藏 Tomcat 信息
编辑 conf/web.xml,在 </web-app> 标签上增加以下内容:
<error-page>
<error-code>404</error-code>
<location>/404.html</location></error-page><error-page>
<error-code>500</error-code>
<location>/500.html</location></error-page>
4、禁用 Tomcat 治理页面
1) 删除 webapps 目录下 Tomcat 原有的所有内容
2) 删除 conf/Catalina/localhost/ 下的 host-manager.xml 和 manager.xml 这两个文件
5、用普通用户启动 Tomcat
useradd -M -s /bin/false tomcatchown -R tomcat.tomcat /usr/local/src/apache-tomcat-6.0.37su - tomcat -c "/usr/local/src/apache-tomcat-6.0.37/bin/catalina.sh start"
6、禁止 Tomcat 列目录
这在新版本中默认就是禁用的,能够在 conf/web.xml 中编辑
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value></init-param>