Tomcat 安全优化
Tomcat 安全优化
1.Tomcat 启动端口优化
1)8005 端口优化
8005 端口是 tcp 的管理端口,修改默认的 8005 端口为不易猜测的端口,可以是大于 1024 的任意端口。
复制代码
2)8009 端口优化
8009 端口为 Ajp 协议连接保护端口,针对 8009 端口的优化可以分为两部分。
1.修改默认 8009 端口为不易猜测的大于 1024 的端口。
2.通过 iptables 规则限制 ajp 端口访问的权限。
复制代码
2.Tomcat 管理端优化
关于管理端的优化主要在 3 个点
1.删除默认的{tocmat 安装目录}/conf/tomcat-users.xml 文件,重启 tomcat 会自动生成新的文件。
2.删除{tocmat 安装目录}/webapps/下所有目录和文件
3.将 tomcat 的启动用户设置成普通用户
复制代码
3.Tomcat 降权启动
Tomcat 启动用户权限必须为非 root 权限,尽量降低 tomcat 启动用户对目录的访问权限,避免一旦 tomcat 服务器被入侵,黑客直接获取高级用户权限危害整个服务器
4.关闭文件列表功能
conf/web.xml 文件中 default 部分的 listings 必须配置为 false
复制代码
5.隐藏 Tomcat 版本信息
tomcat 报错后会有版本提示,定义一个 error-code
1.修改 conf/web.xml,重定向 403/404 以及 500 等错误页面的 url
2.修改程序目录下的 WEB-INF/web.xml 配置页面重定向
复制代码
6.Tomcat 响应头重写
修改 http 响应头中的服务端名称
复制代码
7.Tomcat 设置访问限制
通过配置限定访问的 IP 来源
复制代码
8Tomcat 日志设置
开启 tomcat 默认访问日志中的 referer 和 user-agent 记录
复制代码
评论