Tomcat安全加固-创新互联

这次的安全加固,Tomcat是重灾区。所以整理下Tomcat的安全加固。

创新互联专注于企业营销型网站、网站重做改版、尚义网站定制设计、自适应品牌网站建设、H5页面制作商城建设、集团公司官网建设、外贸网站建设、高端网站制作、响应式网页设计等建站业务,价格优惠性价比高,为尚义等各大城市提供网站开发制作服务。

1. 升级到最新稳定版,这个是老生常谈了。目前Tomcat支持6.0和7.0两个版本。

1) 出于稳定性考虑,不建议进行跨版本升级,如果之前是6.0系列版本,最好还是使用该系列的最新版本。

2) 在统计目录部署最新的Tomcat,将conf目录下的文件和webapp复制过来,之后修改server.xml,修改监听端口进行测试,无误后关闭Tomcat并改回端口。接下来就可以在发布的时候停止旧的Tomcat并开启新的Tomcat,至此升级完毕。

2. 从监听端口上加固

1) 如果Tomcat不需要对外提供服务,则监听在本地回环,前面放Nginx。如果需要对外提供访问,比如一个Nginx挂多个Tomcat,那么在服务器上用iptables只允许负载均衡器的IP来访问

2) 现在我们一般不用Apache通过AJP协议来调用Tomcat了,所以AJP端口可以关闭。

3) 在新版的Tomcat中,SHUTDOWN端口默认就是监听在127.0.0.1的,所以不需要修改。如果还想加固,那可以把SHUTDOWN换成其它的字符串。

3. 自定义错误页面,隐藏Tomcat信息

编辑conf/web.xml,在标签上添加以下内容:


    404
    /404.html


    500
    /500.html

4. 禁用Tomcat管理页面

1) 删除webapps目录下Tomcat原有的所有内容

2) 删除conf/Catalina/localhost/下的host-manager.xml和manager.xml这两个文件

5. 用普通用户启动Tomcat

useradd -M -s /bin/false tomcat
chown -R tomcat.tomcat /usr/local/src/apache-tomcat-6.0.37
su - tomcat -c "/usr/local/src/apache-tomcat-6.0.37/bin/catalina.sh start"

6. 禁止Tomcat列目录

这在新版本中默认就是禁用的,可以在conf/web.xml中编辑


    listings
    false

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网站标题:Tomcat安全加固-创新互联
URL链接:http://ybzwz.com/article/dosgih.html