写点什么

Tomcat 安全优化

作者:jiangxl
  • 2022 年 5 月 18 日
  • 本文字数:1053 字

    阅读完需:约 3 分钟

Tomcat 安全优化

1.Tomcat 启动端口优化

1)8005 端口优化


8005 端口是 tcp 的管理端口,修改默认的 8005 端口为不易猜测的端口,可以是大于 1024 的任意端口。


<Server port="8527" shutdown="SHUTDOWN">
复制代码


2)8009 端口优化


8009 端口为 Ajp 协议连接保护端口,针对 8009 端口的优化可以分为两部分。


1.修改默认 8009 端口为不易猜测的大于 1024 的端口。


2.通过 iptables 规则限制 ajp 端口访问的权限。


<Connector port="8528" protocol="AJP/1.3" redirectPort="8443" secretRequired=""/>
复制代码

2.Tomcat 管理端优化

关于管理端的优化主要在 3 个点


1.删除默认的{tocmat 安装目录}/conf/tomcat-users.xml 文件,重启 tomcat 会自动生成新的文件。


2.删除{tocmat 安装目录}/webapps/下所有目录和文件


3.将 tomcat 的启动用户设置成普通用户


<Context path="" docBase="/usr/local/tomcat_webvapps" debug="0" reloadable="false" crossContext="true"/>
复制代码

3.Tomcat 降权启动

Tomcat 启动用户权限必须为非 root 权限,尽量降低 tomcat 启动用户对目录的访问权限,避免一旦 tomcat 服务器被入侵,黑客直接获取高级用户权限危害整个服务器

4.关闭文件列表功能

conf/web.xml 文件中 default 部分的 listings 必须配置为 false


    <init-param>        <param-name>listings</param-name>        <param-value>false</param-value>    </init-param>
复制代码

5.隐藏 Tomcat 版本信息

tomcat 报错后会有版本提示,定义一个 error-code


1.修改 conf/web.xml,重定向 403/404 以及 500 等错误页面的 url


2.修改程序目录下的 WEB-INF/web.xml 配置页面重定向


     <error-page>            <error-code>404</error-code>            <location>/WEB-INF/jsp/errors/error.jsp</location>        </error-page>        <error-page>            <error-code>500</error-code>            <location>/WEB-INF/jsp/errors/error.jsp</location>        </error-page>
复制代码

6.Tomcat 响应头重写

修改 http 响应头中的服务端名称


server="webserver"
复制代码

7.Tomcat 设置访问限制

通过配置限定访问的 IP 来源


<context path=”/myapp” reloadable=”true” docBase=”/var/www/myapp”>     <value className=”org.apache.catalina.values.RemoteAddrValue”         allow=”192.168.[1-5].*,192.168.[10-15].*” deny=”″ /></context >
复制代码

8Tomcat 日志设置

开启 tomcat 默认访问日志中的 referer 和 user-agent 记录


<Valve className="org.apache.catalina.valves.AccessLogValve"  directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>
复制代码


用户头像

jiangxl

关注

CSDN、阿里云、华为云、51CTO等博客专家 2022.04.27 加入

CSDN博客专家、51CTO专家博主、阿里云博客专家、华为云享专家、DevOps运维领域优质创作者,擅长Linux系统运维、开源监控软件维护、Kubernetes容器技术、CI/CD持续集成、自动化运维、大规模互联网WEB集群架构

评论

发布
暂无评论
Tomcat安全优化_tomcat_jiangxl_InfoQ写作社区