Tomcat安全优化

一.telnet 管理端口保护(强制)

1修改端口默认的8005管理端口(大于1024)

2修改SHUTDOWN指令为其他字符串

备注。建议配置,按照实际情况合理配置,要求端口配置在8000-8999之间

二 ajp连接端口保护(推荐)

1.修改默认的ajp8009端口为不易冲突的大于1024端口

2通过iptables规则限制ajp端口访问的权限仅为线上机器

3.可以<!--   禁用,前提是不做Apache加tomcat

三。禁用管理端(强制)

1.删除默认的Tomcat安装目录/conf/tomcat-users.xml文件,重启tomcat后将会自动生成新的文件(server status显示的那个实验)

2.删除Tomcat安装目录/webapps 下默认的所有目录和文件  (里面都是帮助书册)

3.将tomcat应用根目录配置为tomcat安装目录以外的目录(/web/webapps   )

四。降权启动(强制)

用root用户搭建tomcat,进程是以root身份产生的

黑客可以通过这个进程来进入root身份

首先关闭tomcat

[root@localhost ~]# useradd tomcat
[root@localhost ~]# cp -a /usr/local/tomcat8/ /home/tomcat/tomcat8_1

-a   是全都复制

[root@localhost ~]# chown -R tomcat:tomcat /home/tomcat/tomcat8_1
[root@localhost ~]# su -c '/home/tomcat/tomcat8_1/bin/startup.sh' tomcat

ps  aux |grep java 查看用户

五。文件列表访问控制(强制)

1 conf/web.xml文件中default部分listings的配置必须为false; (默认的)

六。启停脚本权限回收(推荐)

去除其他用户到tomcat的bin目录下shutdown.sh 。startup.sh   。catalina.sh 可执行权限

chmod -R 744 tomcat/bin/*

 

转载于:https://www.cnblogs.com/maoyanqing/p/11572423.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值