Tomcat 安全优化
Tomcat 安全优化
1.Tomcat 启动端口优化
1)8005 端口优化
8005 端口是 tcp 的管理端口,修改默认的 8005 端口为不易猜测的端口,可以是大于 1024 的任意端口。
2)8009 端口优化
8009 端口为 Ajp 协议连接保护端口,针对 8009 端口的优化可以分为两部分。
1.修改默认 8009 端口为不易猜测的大于 1024 的端口。
2.通过 iptables 规则限制 ajp 端口访问的权限。
2.Tomcat 管理端优化
关于管理端的优化主要在 3 个点
1.删除默认的{tocmat 安装目录}/conf/tomcat-users.xml 文件,重启 tomcat 会自动生成新的文件。
2.删除{tocmat 安装目录}/webapps/下所有目录和文件
3.将 tomcat 的启动用户设置成普通用户
3.Tomcat 降权启动
Tomcat 启动用户权限必须为非 root 权限,尽量降低 tomcat 启动用户对目录的访问权限,避免一旦 tomcat 服务器被入侵,黑客直接获取高级用户权限危害整个服务器
4.关闭文件列表功能
conf/web.xml 文件中 default 部分的 listings 必须配置为 false
5.隐藏 Tomcat 版本信息
tomcat 报错后会有版本提示,定义一个 error-code
1.修改 conf/web.xml,重定向 403/404 以及 500 等错误页面的 url
2.修改程序目录下的 WEB-INF/web.xml 配置页面重定向
6.Tomcat 响应头重写
修改 http 响应头中的服务端名称
7.Tomcat 设置访问限制
通过配置限定访问的 IP 来源
8Tomcat 日志设置
开启 tomcat 默认访问日志中的 referer 和 user-agent 记录
CSDN、阿里云、华为云、51CTO等博客专家 2022.04.27 加入
CSDN博客专家、51CTO专家博主、阿里云博客专家、华为云享专家、DevOps运维领域优质创作者,擅长Linux系统运维、开源监控软件维护、Kubernetes容器技术、CI/CD持续集成、自动化运维、大规模互联网WEB集群架构
评论