如何对tomcat进行安全设置

最新推荐文章于 2021-07-06 16:51:45 发布
最新推荐文章于 2021-07-06 16:51:45 发布
阅读量75 收藏
点赞数
文章标签: java 运维 web.xml
原文链接:http://www.cnblogs.com/zgh2015/p/4349565.html
版权

安全加固,Tomcat是重灾区。所以整理下Tomcat的安全加固。

1. 升级到最新稳定版,这个是老生常谈了。目前Tomcat支持6.0和7.0两个版本。
1) 出于稳定性考虑,不建议进行跨版本升级,如果之前是6.0系列版本,最好还是使用该系列的最新版本。
2) 在统计目录部署最新的Tomcat,将conf目录下的文件和webapp复制过来,之后修改server.xml,修改监听端口进行测试,无误后关闭Tomcat并改回端口。接下来就可以在发布的时候停止旧的Tomcat并开启新的Tomcat,至此升级完毕。
2. 从监听端口上加固
1) 如果Tomcat不需要对外提供服务,则监听在本地回环,前面放Nginx。如果需要对外提供访问,比如一个Nginx挂多个Tomcat,那么在服务器上用iptables只允许负载均衡器的IP来访问
 <Connector port="8080" address="127.0.0.1"
               maxHttpHeaderSize="8192" URIEncoding="UTF-8"
               maxThreads="500" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" redirectPort="8443" acceptCount="100"
               connectionTimeout="10000" disableUploadTimeout="true" />
2) 现在我们一般不用Apache通过AJP协议来调用Tomcat了,所以AJP端口可以关闭。
 <!--
    <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
-->
3) 在新版的Tomcat中,SHUTDOWN端口默认就是监听在127.0.0.1的,所以不需要修改。如果还想加固,那可以把SHUTDOWN换成其它的字符串。
1<Server port="8005" shutdown="YourString">
3. 自定义错误页面,隐藏Tomcat信息
编辑conf/web.xml,在</web-app>标签上添加以下内容:
 <error-page>
    <error-code>404</error-code>
    <location>/404.html</location>
</error-page>
<error-page>
    <error-code>500</error-code>
    <location>/500.html</location>
</error-page>

 

4. 禁用Tomcat管理页面
1) 删除webapps目录下Tomcat原有的所有内容
2) 删除conf/Catalina/localhost/下的host-manager.xml和manager.xml这两个文件
5. 用普通用户启动Tomcat
 useradd -M -s /bin/false tomcat
chown -R tomcat.tomcat /usr/local/src/apache-tomcat-6.0.37
su - tomcat -c "/usr/local/src/apache-tomcat-6.0.37/bin/catalina.sh start"

转载于:https://www.cnblogs.com/zgh2015/p/4349565.html

dongkui8623
关注
tomcat安全加固手册
程序员的笔记
05-22 5795
1、版本更新、补丁安装 最有效、最简单的安全加固方法,升级到最新版本。 注:tomcat版本与jdk版本对应关系(https://tomcat.apache.org/whichversion.html): 2、隐藏tomcat版本号 修改tomcat安装目录/lib/catalina.jar的\org\apache\catalina\util\ServerInfo.propert...
tomcat安全设置
涛涛baby
08-16 837
tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。       (1).服务降权     默认安装时Tomcat是以系统服务权限运行的,因此缺省情况下几乎所有的Web服务器的管理员都具有Administrator权限,这和IIS不同,存在极大的安全隐患,
Tomcat安全加固
weixin_33919941的博客
07-29 115
这次的安全加固,Tomcat是重灾区。所以整理下Tomcat安全加固。1. 升级到最新稳定版,这个是老生常谈了。目前Tomcat支持6.0和7.0两个版本。1) 出于稳定性考虑,不建议进行跨版本升级,如果之前是6.0系列版本,最好还是使用该系列的最新版本。2) 在统计目录部署最新的Tomcat,将conf目录下的文件和webapp复制过来,之后修改server.xml,修改...
tomcat安全加固配置手册
weixin_34258782的博客
03-09 281
2019独角兽企业重金招聘Python工程师标准>>> ...
安全加固----二、Tomcat服务安全加固
七天
07-06 740
Tomcat服务默认启用了管理后台功能,使用该后台可直接上传 war 文件包对站点进行部署和管理。由于运维人员的疏忽,可能导致管理后台存在空口令或者弱口令的漏洞,使得黑客或者不法分子可以利用该漏洞直接上传 Webshell 脚本导致服务器沦陷。 通常 Tomcat 后台管理的 URL 地址为 http://iP:8080/manager/html/ 1、网络访问控制 如果业务不需要使用 Tomcat 管理后台管理业务代码,建议使用防火墙功能对管理后台 URL 地址进行拦截,或直接将 Tomcat 部署目录
Tomcat安全设置 win2003 下tomcat权限限制
09-30
总的来说,对Tomcat进行安全设置是防止未授权访问、防止恶意代码执行以及保护服务器资源的关键步骤。在Windows Server 2003环境下,通过创建专用用户、控制服务启动权限、设置运行用户和调整文件目录权限,可以显著...
tomcat服务器安全设置方法
09-29
Tomcat服务器安全设置方法涉及多方面,目的是降低被攻击的风险、增强系统的安全性。首先,Tomcat是一个支持Servlet和Java Server Pages (JSP)技术的HTTP服务器,它为开发者提供了一个可扩展的平台来部署Web应用程序...
Tomcat服务器之安全设置
02-21
本机将从安全和功能两方面谈谈基于Tomcat的Web服务器的部署,希望对大家有所帮助。环境描述OS:WindowsServer2003IP:192.168.1.12Tomcat6.0.181、安全测试(1).登录后台在WindowsServer2003上部署Tomcat,一切保持...
tomcat安全加固手册.pdf
05-22
tomcat安全加固手册.pdf,总结了常用的tomcat安全加固方法,可以根据此文档完成tomcat安全加固。
Tomcat 安全加固
02-21
安全加固,Tomcat是重灾区。所以整理下Tomcat安全加固。升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级.
tomcat 安全规范(tomcat安全加固和规范)
01-10
tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。以下是一些安全加固的方法: 版本安全  升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级。 服务降权 不要使用root用户启动tomcat,使用用普通用户启动Tomcat,集群内用户名统一UID 端口保护 1 更改tomcat管理端口8005 ,此端口有权限关闭tomcat服务,但要求端口配置在8000~8999之间,并更改shutdown执行的命令 2 若 Tomcat 都是放在内网的,则针对 Tomc
等级保护技术方案(三级).doc
10-14
“等级化”设计方法,是根据需要保护的信息系统确定不同的安全等级,根据安全等级确定不同等级的安全目标,形成不同等级的安全措施进行保护。等级保护的精髓思想就是“等级化”。等级保护可以把业务系统、信息资产、安全边界等进行“等级化”,分而治之,从而实现信息安全等级保护的“等级保护、适度安全”思想。 整体的安全保障体系包括技术和管理两大部分,其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。 整个安全保障体系各部分既有机结合,又相互支撑。之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。” 根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行: ……
Tomcat服务器 安全设置第1/3页
09-30
为了确保服务器的安全,我们需要对Tomcat进行一系列的安全设置。 **1. 修改默认配置** 默认情况下,Tomcat的管理员账号`admin`是空密码,这为攻击者提供了直接登录后台的可能。首先,我们需要更改管理员的默认密码...
tomcat安全加固
weixin_30781107的博客
12-09 251
本文基于tomcat8.0.24 1、删除文档和示例程序 【操作目的】删除示例文档 【加固方法】删除webapps/docs、examples、manager、ROOT、host-manager 【是否实施】是 2、禁止列目录 【操作目的】防止直接访问目录时由于找不到默认页面而列出目录下的文件 【加固方法】打开web.xml,将<param-name>listings...
Tomcat安全加固配置手册
weixin_33909059的博客
01-31 173
第1章概述1.1 目标现有的Web服务体系架构缺少有效的安全性支持,所以需要一个安全框架模型来解决Web服务中的各种安全问题。Web服务器是应用的载体,如果这个载体出现安全问题,那么运行在其中的Web应用程序的安全就得不到保障了。本文主要描述Apache Tomcat安全加固和配置工作,最终用以指导系统实施。1.2 预期读者本文档用于指导系统工程师进行系统实施...
【第一季:Tomcat 8迷情】 第4集:Tomcat8常见的安全加固方法
weixin_34122548的博客
08-04 100
Tomcat8 常见的系统安全加固方法:1.条件允许的话,将tomcat升级到最新的稳定版本;2.删除tomcat webapps目录下的系统自带的所有目录和文件:docs examples host-manager manager ROOT3.在conf/web.xml中自定义错误页面,隐藏tomcat自带的错误页面,避免tomcat产生的原始异常直接在页面中显示 ...
强化Tomcat安全设置:关键步骤与配置
"本文档主要介绍了如何对Tomcat服务器进行安全加固,以提高其运行时的安全性和防护能力。以下是一系列关键的配置步骤,确保在实际操作中遵循这些指南以保护你的Tomcat环境免受潜在威胁: 1. 隐藏Web应用程序中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值