Tomcat 安全加固

一、Tomcat 服务器的安全设置

1、Tomcat简单介绍：

Tomcat 是一个小型的轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开放和调试Jsp 程序的首选。

2、Tomcat 服务器启动的权限

tomcat启动用户权限必须为非root权限，尽量减低tomcat启动用户的目录访问权限。
如需直接对外使用80端口，可通过普通账户启动后，配置iptables 规则进行转发。
设置启动脚本

3、Tomcat 服务器后台管理地址和修改管理帐号密码的方法

打开tomcat-users.xml 文件，进行如下配置。

进行配置后保存，重启服务器。再进行访问就可以了。

点击manager app 后输入帐号密码就可以进去了。

4、隐藏Tomcat 版本信息的方法

首先备份tomcat
进入tomcat的lib目录找到catalina.jar文件
upzip catalina.jar 之后会多出两个目录
cd org/apache/catalina/util 编辑配置文件serverlfo.properties
编辑配置文件serverinfo.properties
将修改后的信息压缩回jar包 jar uvf catalina.jar org/apache/catalina/util/serverinfo.properties
重启服务

5、关闭不必要的接口和功能

- 禁用管理端

对于前段web模块，tomcat管理段属于tomcat的高危安全隐患，一旦被黑客攻破上传websehll 将会导致严重的后果。

1、删除默认的{tomcat安装目录} /conf/tomcat-users.xml,重启tomcat后会自动生成新的文件。 2、删除{tomcat安装目录} /webapp下默认的所有目录和文件。 3、将tomcat应用根目录配置为tomcat安装目录以外的目录。配置样例：

- telnet管理端口保护

使用telnet连接进来可以输入SHUTDOWN可以直接关闭tomcat，极不安全，必须关闭。可以修改默认的管理端口8005改为其他端口(端口要在8000-8999之间)，修改SHUTDOWN指令为其他字符串。


<Server port="8365" shutdown="IN0IT">

- AJP连接端口保护

Tomcat服务器通过Connector连接器组件与客户程序建立连接，Connector组件负责接收客户的请求，以及把Tomcat服务器的响应结果发送给客户。默认情况下，Tomcat在server.xml中配置了两种连接器，一种使用ajp，要和apache结合使用，一种使用http。当使用http时，可以限制ajp端口访问，在于防止线下测试流量被mod_jk转发至线上tomcat服务器。可以通过iptables规则限制ajp端口的访问，或者直接将改行注释。


    <!--<Connector port="8329" protocol="AJP/1.3" redirectPort="8443" />-->

- 文件列表访问控制

conf/web.xml文件中的default部分listings的配置必须为false，false为不列出目录文件，true为允许列出，默认为false。

<init-param>
      <param-name>listings</param-name>
      <param-value>false</param-value>
</init-param>

二、tomcat 服务器的日志审计方法

1、tomcat 的日志种类

2、tomcat 日志的审计方法

上一页Apache 安全加固下一页MySql 安全加固

最后更新于4年前

hashtag一、Tomcat 服务器的安全设置

hashtag1、Tomcat简单介绍：

hashtag2、Tomcat 服务器启动的权限

hashtag3、Tomcat 服务器后台管理地址和修改管理帐号密码的方法

hashtag4、隐藏Tomcat 版本信息的方法

hashtag5、关闭不必要的接口和功能

hashtag- 禁用管理端

hashtag- telnet管理端口保护

hashtag- AJP连接端口保护

hashtag- 文件列表访问控制

hashtag二、tomcat 服务器的日志审计方法

hashtag1、tomcat 的日志种类

hashtag2、tomcat 日志的审计方法