Tomcat安全加固
这次的安全加固,Tomcat是重灾区。所以整理下Tomcat的安全加固。
创新互联公司专注为客户提供全方位的互联网综合服务,包含不限于网站制作、做网站、平城网络推广、重庆小程序开发、平城网络营销、平城企业策划、平城品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们最大的嘉奖;创新互联公司为所有大学生创业者提供平城建站搭建服务,24小时服务热线:18980820575,官方网址:www.cdcxhl.com
1. 升级到最新稳定版,这个是老生常谈了。目前Tomcat支持6.0和7.0两个版本。
1) 出于稳定性考虑,不建议进行跨版本升级,如果之前是6.0系列版本,最好还是使用该系列的最新版本。
2) 在统计目录部署最新的Tomcat,将conf目录下的文件和webapp复制过来,之后修改server.xml,修改监听端口进行测试,无误后关闭Tomcat并改回端口。接下来就可以在发布的时候停止旧的Tomcat并开启新的Tomcat,至此升级完毕。
2. 从监听端口上加固
1) 如果Tomcat不需要对外提供服务,则监听在本地回环,前面放Nginx。如果需要对外提供访问,比如一个Nginx挂多个Tomcat,那么在服务器上用iptables只允许负载均衡器的IP来访问
2) 现在我们一般不用Apache通过AJP协议来调用Tomcat了,所以AJP端口可以关闭。
3) 在新版的Tomcat中,SHUTDOWN端口默认就是监听在127.0.0.1的,所以不需要修改。如果还想加固,那可以把SHUTDOWN换成其它的字符串。
3. 自定义错误页面,隐藏Tomcat信息
编辑conf/web.xml,在标签上添加以下内容:
404 /404.html 500 /500.html
4. 禁用Tomcat管理页面
1) 删除webapps目录下Tomcat原有的所有内容
2) 删除conf/Catalina/localhost/下的host-manager.xml和manager.xml这两个文件
5. 用普通用户启动Tomcat
useradd -M -s /bin/false tomcat chown -R tomcat.tomcat /usr/local/src/apache-tomcat-6.0.37 su - tomcat -c "/usr/local/src/apache-tomcat-6.0.37/bin/catalina.sh start"
6. 禁止Tomcat列目录
这在新版本中默认就是禁用的,可以在conf/web.xml中编辑
listings false
文章标题:Tomcat安全加固
网页网址:http://ybzwz.com/article/jejjep.html