TOMCAT安全配置

最新推荐文章于 2020-12-05 08:00:00 发布
最新推荐文章于 2020-12-05 08:00:00 发布
阅读量310 收藏
点赞数
文章标签: java 前端 web.xml ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_12291/article/details/82449014
版权
[b]删除默认文件[/b]


删除TOMCAT默认示例文件、帮助文件、后台管理界面等,禁止使用manager/admin管理后台。需删除的文件和目录清单如下:
[quote]
$CATALINA_BASE/server/webapps/manager
$CATALINA_BASE/server/webapps/host-manager
$CATALINA_BASE/webapps/balancer
$CATALINA_BASE/webapps/manager
$CATALINA_BASE/webapps/host-manager
$CATALINA_BASE/webapps/webdav
$CATALINA_BASE/webapps/tomcat-docs
$CATALINA_BASE/webapps/jsp-examples
$CATALINA_BASE/webapps/servlets-examples
$CATALINA_BASE/webapps/examples
$CATALINA_BASE/webapps/docs
$CATALINA_BASE/conf/tomcat-users.xml[/quote]

[b]启动帐号[/b]

建立独立用户,用户名和组名均为tomcat,不设置密码(即禁止SSH登录),tomcat进程以此帐号身份运行,严禁以root权限运行tomcat,禁止以个人帐号或其他有shell权限的帐号运行tomcat。可选如下方法之一来实现非ROOT启动tomcat:

[list]
[*]修改启动脚本
[/list]

在$CATALINA_BASE/startenv.sh里面export环境变量:

export TOMCAT_USER=tomcat

同时需要修改$CATALINA_HOME/bin/startup.sh 


exec "$PRGDIR"/"$EXECUTABLE" start "$@"

修改为: 
if [ -z "$TOMCAT_USER" ]; then
    exec "$PRGDIR"/"$EXECUTABLE" start "$@"
else
    exec su $TOMCAT_USER -c "$PRGDIR/$EXECUTABLE start $@"
fi

[list]
[*]使用jsvc来启动tomcat
[/list]

在jsvc配置文件里面指定参数

[quote]-u tomcat[/quote]

[b]禁止列目录[/b]
配置$CATALINA_BASE/conf/web.xml文件,防止直接访问目录时由于找不到默认主页而列出目录下所有文件。 
<init-param>
            <param-name>listings</param-name>
            <param-value>false</param-value>
        </init-param>


[b]打开access log[/b]
按小时或按天记录。prefix/fileDateFormat/pattern可自定义,但必须记录关键信息,例如:源IP,Host、时间、请求、状态码、数据大小、UA等。注意:如果前端是NG做反向代理,默认的pattern="combined"和pattern="common"不能记录用户的真实IP,必须自定义pattern,记录客户端真实IP(X-Real-IP)
[quote]
<Valve className="org.apache.catalina.valves.AccessLogValve"
directory="logs" prefix="xx" suffix=".log"
fileDateFormat="yyyy-MM-dd-HH"
pattern="%a %l %u %t "%r" %s %b "%{Referer}i" "%{User-Agent}i" " %{X-Real-IP}i"
resolveHosts="false"/> [/quote]

[b]禁止使用jmx[/b]

如之前已经启用,在启动脚本里面(catalina.sh或startenv.sh)删除CATALINA_OPTS变量里面jmxremote相关参数即可。


[b] 禁止使用AJP[/b]

配置$CATALINA_BASE/conf/server.xml文件,注释或删除如下部分。

注释前
[quote]
<Connector port="*" maxThreads="*"
enableLookups="false" redirectPort="*" protocol="AJP/**" />[/quote]

[b]目录权限
[/b]
默认情况下,tomcat启动用户对WEB目录下所有文件及子目录应无写权限。标准配置:文件属主为root.root,权限为755。

日志文件及cache文件应放在WEB目录之外
[b]

上传目录禁止执行[/b]

如tomcat需支持上传功能,需要对WEB目录下某些目录有写权限,那么应该限制这些上传目录禁止执行脚本。

appdir路径有几种可能:

(1) 默认位置

appdir="$CATALINA_BASE/webapps/ROOT"

(2) 默认位置下指定了appname

appdir="$CATALINA_BASE/webapps/$appname"

(3)通过docBase参数指定的路径

appdir="$docBase"

这些是通过UrlRewriteFilter模块来限制的示例配置,如果WEB-INF及相关目录不存在,创建一个即可。


[b]设置规则禁止上传目录执行jsp[/b]

可以使用
[quote]<urlrewrite>
<rule>
<from>^[\./]*/upload/.*\.jsp$</from>
<to>/deny.html</to>
</rule>
</urlrewrite>[/quote]
iteye_12291
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tomcat 上传目录禁止解析脚本_10、Linux云计算系列CentOS6网络服务—Tomcat
weixin_39624094的博客
12-05 413
Java web环境搭建1. 初识 TomcatTomcat 服务器是一个免费的开放源代码的 Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试 JSP 程序的首选。Tomcat 是 Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行 tomcat 时,它实际上作为一个与 Apache 独立的进程单独运...
基于Tomcat安全配置与性能优化详解
09-30
### Tomcat安全配置 #### 版本安全升级 - **选择稳定版本**:在选择Tomcat版本时,应避免采用最新发布的版本,而是选择当前大版本下较为稳定且经过一段时间考验的版本,例如在6.0和7.0版本中选择。 - **跨版本升级...
tomcat学习|tomcat的启动过程
微笑的小小刀
08-15 131
开头说两句小刀博客:https://www.lixiang.red小刀公众号: 程序员学习大本营学习背景在前两篇中,我们讲述了tomcat的源码结构https://www.lixian...
sql注入预防
phphot
04-05 1730
 一、 SQL注入攻击的简单示例。statement := “SELECT * FROM Users WHERE Value= ” + a_variable + “  上面这条语句是很普通的一条SQL语句,在输入变量的时候,输入以下内容SA001’;drop table c_order–。那么以上这条SQL语句在执行的时候就变为了SELECT * FROM Users WHERE Value= ‘
apache禁止某些目录asp、php、jsp文件运行
一夜长风的专栏
02-02 977
在web站点中,有些上传目录是开放的,会有恶意上传文件的行为,为了安全起见,可以在apache中设置禁止在这些目录中运行某些文件, 网站访问量比较大时会生成很大的日志文件,为了便于管理,可以每天生成一个日志文件,并定期删除掉,如下设置
应用安全-浅谈LINUX系统TOMCAT安全配置
最新发布
06-25
tomcat安装及配置教程
ApacheTomcat安全配置说明及相关工具
05-19
网络安全越来越重要,将这些年来客户要求的安全配置整理了一下,其中包含各种安全配置和相关工具其中包含: 1. Tomcat 证书配置 2. 隐藏程序出错信息 3. 隐藏服务器信息 4. 关闭热部署功能 5. 关闭管理功能和默认主页 6...
tomcat安全加固手册
05-09
### Tomcat安全加固手册知识点详解 #### 一、Tomcat简介与重要性 Tomcat作为Apache软件基金会(Apache Software Foundation)Jakarta项目的核心组件之一,由Apache、Sun及其他多个机构和个人共同开发完成。得益于...
Tomcat安全部署配置手册
03-24
### Tomcat安全部署配置手册 #### 一、安全配置详解 **1. 关闭服务器端口** 在Tomcat的`server.xml`配置文件中,默认包含了一行代码用于指定关闭服务器的端口号以及对应的关闭命令。例如: ```xml ``` 这行...
Tomcat NIO(16)-文件上传
weixin_46073333的博客
12-05 185
在上一篇文章中我们主要介绍了 tomcat nio 中的长连接,包括长连接开启和关闭的条件,每个长连接可以复用的请求数目等等,在这里我们介绍 tomcat文件上传的支持。对于 htt...
UrlRewrite 关于地址重写来增加安全
lvkemitu的博客
11-28 1995
UrlRewrite 关于地址重写来增加安全
Tomcat安全配置
lee_yanyi的博客
03-26 2786
安全配置要求 帐户口令安全 帐户共用 编号 Tomcat-01001 名称 应为不同的用户分配不同的Tomcat帐户,不允许不同用户间共享Tomcat帐户。 操作指南 1、参考配置操作 修改 $CATALINA_HOME/co...
linux下tomcat8启动用的环境配置脚本setenv.sh
lin252552的博客
08-29 8441
文件放入tomcat的bin目录中以加载 新建setenv.sh echo "start set env" echo "$CATALINA_BASE" JAVA_OPTS="-server -d64 -Xms512M -Xmx512M -Xss512k            -XX:+AggressiveOpts -XX:AutoBoxCacheMax=20000            -...
tomcat安全配置
yumushui的专栏
07-28 1617
一、目的 本标准是Qunar信息系统安全技术标准的一部分,主要目的是根据信息安全管理政策要求,为我司tomcat配置提供安全标准。  二、范围 适用于我司所有tomcat。  三、内容  3.1 版本 同一应用,TOMCAT和JDK使用统一版本,生成环境TOMCAT和JDK由OPS部门或PE维护,其他人员禁止变更。当前指定的最低版本如下:
Tomcat服务安全加固
weixin_34357887的博客
06-29 258
Tomcat服务默认启用了管理后台功能,使用该后台可直接上传 war 文件包对站点进行部署和管理。由于运维人员的疏忽,可能导致管理后台存在空口令或者弱口令的漏洞,使得黑客或者不法分子可以利用该漏洞直接上传 Webshell 脚本导致服务器沦陷。 通常 Tomcat 后台管理的 URL 地址为 http://iP:8080/manager/html/, 如下图所示: 黑客通过猜解到的口令登录 To...
Tomcat 安全配置与性能优化
weixin_34067102的博客
01-27 372
       Tomcat 是 Apache软件基金会下的一个免费、开源的WEB应用服务器,它可以运行在 Linux 和 Windows 等多个平台上,由于其性能稳定、扩展性好、免费等特点深受广大用户喜爱。目前,很多互联网应用和企业应用都部署在 Tomcat 服务器上,比如我们公司,哈。       之前我们 tomcat 都采用的是默认配置,因此在安全方面还是有所隐患的。上周对测试环境的所有服...
Tomcat安全加固配置
09-05 376
Tomcat服务默认启用了管理后台功能,使用该后台可直接上传 war 文件包对站点进行部署和管理。如果疏忽,可能导致管理后台存在空口令或者弱口令的漏洞,使得黑客或者不法分子可以利用该漏洞直接上传 Webshell脚本导致服务器沦陷。 通常 Tomc...
Tomcat安全优化策略与配置规范
二、Tomcat安全配置 1. **版本管理**:保持Tomcat版本的最新,及时打补丁或升级,避免已知安全漏洞。 2. **最小权限原则**:运行Tomcat的服务账户应具有最小权限,避免以root或管理员权限运行,降低被攻击的风险。 3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值