Tomcat 基线检查策略
1、Tomcat共享帐号管理
1、参考配置
修改文件$TOMCAT_HOME/conf/tomcat-users.xml,请在tomcat-users标签内新增帐号,如:
<user username="test" password="tomcat!" roles="role1"/>
2、补充操作说明
(1)请根据实际情况配置用户名与密码2、删除与工作无关账号
参考配置
(1)修改文件$TOMCAT_HOME/conf/tomcat-users.xml,删除无关账号内容,如:
<user username="role1" password="tomcat" roles="role1"/>
补充说明
需要删除账号:both、role13、静态口令太简单
1、参考配置
(1)配置密码复杂度
修改文件$TOMCAT_HOME/conf/tomcat-users.xml,修改password的值,如:
<user username="test" password="Manager!@34" roles="role1"/>
2、补充操作说明
口令要求:长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。4、静态口令生存期
1、参考配置
(1)请定期修改tomcat用户密码
修改文件$TOMCAT_HOME/conf/tomcat-users.xml,修改password的值,如:
<user username="test" password="Manager!@34" roles="role1"/>5、记录用户登录日志信息
1、参考配置
(1)配置日志功能
修改文件$TOMCAT_HOME/conf/server.xml,
在<HOST>标签中将以下内容的注释标记< ! -- -- >取消
<valve classname=”org.apache.catalina.valves.AccessLogValve”
Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt”
Pattern=”common” resloveHosts=”false”/>
2、补充操作说明
(1)Directory:日志文件放置的目录,在tomcat下面有个logs文件夹,
那里面是专门放置日志文件的,也可以修改为其他路径
(2)Prefix: 这个是日志文件的名称前缀,
日志名称为localhost_access_log.2008-10-22.txt,前面的前缀就是这个localhost_access_log
(3)Suffix: 文件后缀名
(4)Pattern: common方式时,
将记录访问源IP、本地服务器IP、记录日志服务器IP、访问方式、发送字节数、本地接收端口、访问URL地址等相关信息在日志文件中6、启用访问模块审计、错误信息日志功能
参考配置
(1)增加记录日志功能
修改文件$TOMCAT_HOME/conf/server.xml,在<HOST>标签中将以下内容的注释标记< ! -- -- >取消
<valve classname=”org.apache.catalina.valves.AccessLogValve”
Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt”
Pattern=”common” resloveHosts=”false”/>7、日志需要记录远程访问的IP地址
1、参考配置
(1)配置日志功能
修改tomcat的conf目录下的文件server.xml,在<HOST>标签中将以下内容的注释标记< ! -- -- >取消
<valve classname="org.apache.catalina.valves.AccessLogValve"
directory="logs" prefix="localhost_access_log." Suffix=".txt"
Pattern="common" resloveHosts="false"/>
2、补充操作说明
(1)directory:日志文件放置的目录,在tomcat下面有个logs文件夹,那里面是专门放置日志文件的,也可以修改为其他路径
(2) Prefix: 这个是日志文件的名称前缀,日志名称为localhost_access_log.2008-10-22.txt,前面的前缀就是这个localhost_access_log
(3)Suffix: 文件后缀名
(4)Pattern: common方式时,将记录访问源IP、本地服务器IP、记录日志服务器IP、访问方式、发送字节数、本地接收端口、访问URL地址等相关信息在日志文件中8、禁止超级用户启动tomcat
参考配置
(1)在普通用户的模式下,运行tomcat的启动脚本,不适用root用户启动9、启用安全协议https
1、参考配置
(1)使用JDK自带的keytool工具生成一个证书
JAVA_HOME/bin/keytool -genkey –alias tomcat –keyalg RSA -keystore /path/to/my/keystore
/path/to/my/keystore请根据实际情况修改
(2)修改tomcat的conf目录下的文件server.xml,更改为使用https方式,增加如下行:
<Connector classname="org.apache.catalina.http.HttpConnector"
port="8443" minProcessors="5" maxprocessors="100"
enableLookups="true" acceptCount="10" debug="0"
scheme="https" secure="true" />
<Factory classname="org.apache.catalina.SSLServerSocketFactory"
clientAuth="false"
keystoreFile="/path/to/my/keystore" keystorePass="runway1@"
protocol="TLS"/>
其中keystorePass的值为生成keystore时输入的密码,其他参数请根据实际情况填写
(3)重新启动tomcat服务10、设置连接超时时间限制
1、参考配置
(1)配置定时自动登出功能
修改tomcat的conf目录下的文件server.xml,在相关内容下,修改connectionTimeout为300秒:
<Connector port="8080" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25"
maxSpareThreads="75" enableLookups="false"
redirectPort="8443" acceptCount="100"
connectionTimeout="300" disableUploadTimeout="true" />
请将connectionTimeout值设置为不大于基线配置值的整数,且不为0
2、补充操作说明
(1)请根据实际情况修改,针对每个应用下进行更改11、检查最大连接数
参考配置
(1)设置连接数
修改tomcat的conf目录下的文件server.xml,配置内容参考如下:
<Connector port="8080"
maxThreads="1024" minSpareThreads="100"
maxSpareThreads="500" acceptCount="100"
/>
maxThreads="1024" 表示最多同时处理1024个连接,请根据实际情况配置不大于基线配置值12、更改tomcat服务器默认管理端口
参考配置
(1)修改文件$TOMCAT_HOME/conf/server.xml,更改默认管理端口到xx
<Connector port="xx"
maxHttpHeaderSize="8192" maxThreads="150"
minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" redirectPort="8443" acceptCount="100"
connectionTimeout="300" disableUploadTimeout="true" />
(2)重启tomcat服务13、Tomcat错误页面重定向
参考配置
(1)配置$TOMCAT_HOME/conf/web.xml文件,在最后</web-app>一行之前加入以下内容:
<error-page>
<error-code>404</error-code>
<location>/noFile.htm</location>
</error-page>
……………
<error-page>
<exception-type>java.lang.NullPointerException</exception-type>
<location>/error.jsp</location>
</error-page>
第一个<error-page></error-page>之间的配置实现了将404未找到jsp网页的错误导向noFile.htm页面,也可以用类似方法添加其他的错误代码导向页面,如403,500等。
第二个<error-page></error-page>之间的配置实现了当jsp网页出现java.lang.NullPointerException导常时,转向error.jsp错误页面,还需要在第个jsp网页中加入以下内容:
<%@ page errorPage="/error.jsp" %>
典型的error.jsp错误页面的程序写法如下:
<%@ page contentType="text/html;charset=GB2312"%>
<%@ page isErrorPage="true"%>
<html>
<head><title>错误页面</title></head>
<body>出错了:</p> 错误信息: <%= exception.getMessage() %><br>
Stack Trace is : <pre><font color="red"><%
java.io.CharArrayWriter cw = new java.io.CharArrayWriter();
java.io.PrintWriter pw = new java.io.PrintWriter(cw,true);
exception.printStackTrace(pw);
out.println(cw.toString());
%></font></pre>
</body>
</html>
当出现NullPointerException异常时tomcat会把网页导入到error.jsp,且会打印出出错信息。
(2)重新启动tomcat服务
(3)要求错误页面不能太大14、禁止tomcat列表显示文件
参考配置
(1) 禁止tomcat列表显示文件
修改文件$TOMCAT_HOME/conf/web.xml, 查找下述内容:
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
</init-param>
把true改成false,则禁止列表显示文件。
(2)重新启动tomcat服务15、配置自动登出
参考配置
(1)配置定时自动登出功能
修改文件$TOMCAT_HOME/conf/server.xml配置文件,在相关内容下,修改connectionTimeout为30秒(推荐值,必须小于300秒):
<Connector port="8080" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25"
maxSpareThreads="75" enableLookups="false"
redirectPort="8443" acceptCount="100"
connectionTimeout="30" disableUploadTimeout="true" />
(2)补充操作说明:
请将配置文件中未注释掉的所有连接端口Connector port配置项的connectionTimeout后面的时间修改为小于300秒即可。16、禁用manager功能
参考配置
(1)将以下目录$TOMCAT_HOME/webapps/manager,移除到非$TOMCAT_HOME/webapps目录17、根据机器性能和业务需求,设置最大最小连接数
参考配置
(1)设置连接数
修改文件$TOMCAT_HOME/conf/server.xml,配置内容参考如下:
<Connector port="8080"
maxThreads="1024" minSpareThreads="100"
maxSpareThreads="500" acceptCount="100"
/>
maxThreads="1024" 表示最多同时处理1024个连接
minSpareThreads="100" 表示即使没有人使用也开这么多空线程等待
maxSpareThreads="500" 表示如果最多可以空500个线程
acceptCount="100" 当同时连接的人数达到maxThreads时,还可以接收排队的连接,超过这个连接的则直接返回拒绝连接18、禁用PUT、DELETE等危险的HTTP 方法
参考配置
(1)修改文件$TOMCAT_HOME/conf/web.xml,配置org.apache.catalina.servlets.DefaultServlet的值,内容如下:
<init-param>
<param-name>readonly</param-name>
<param-value>false</param-value>
</init-param>
readonly参数默认是true,即允许delete和put操作,修改为false。最后更新于
这有帮助吗?