linux tomcat安全设置,tomcat 安全配置

最新推荐文章于 2023-09-04 09:56:21 发布

伦斯特

最新推荐文章于 2023-09-04 09:56:21 发布

阅读量174

点赞数

文章标签： linux tomcat安全设置

Tomcat 安全管理配置规范

管理端口保护8005

tcp6 0 0 127.0.0.1:8005 :::* LISTEN 35830/java

[root@apache01 webapps]# telnet 127.0.0.1 8005

Trying 127.0.0.1...

Connected to 127.0.0.1.

Escape character is '^]'.

SHUTDOWN

能过telnet命令连接到8005端口，可以执行SHUTDOWN命令关闭tomcat

优化方案:

修改默认的8005端口，修改shutdown指定字符串

将端口修改成随机端口，将关闭命令修改成任意字符

ajp连接端口8009

修改默认的8009端口，通过Iptables控制ajp端口访问

保护此端口的目的在于防止线下的测试流量被mod_jk转发至线上tomcat服务器

禁用管理端

删除tomcat/目录的一些host-manager docs examples 或者将tomcat的目录设定为

tomcat以外的目录

对于前端web模块，tomcat管理端属于tomcat高危安全隐患，一旦被攻破，×××通过上

传web shell的方式将会直接取得服务器的控制

修改默认的发布目录站点位置

降权启动

以非root用户启动tomcat

文件列表访问控制

conf/web.xml文件中default部分listings的配置必须为false;

false为不列出目录文件，true为允许，默认false

listings

false

版本信息隐藏

1.修改conf/web.xml，重定向403,404以及500等错误到指定的错误页面，

2. 也可以修改应用程序目录下的WEB-INF/web.xml下的配置进行错误页面的重定向

403

/forbidden.jsp

404

/notfound.jsp

500

/systembusy.jsp

在配置中对一些常见错误进么重定向，避免当出现错误时，tomcat默认显示的错误页面暴

露服务器和版本信息，必须确保程序根目录下的错误页面已经存在

server header重写

在HTTP Connector配置中加入server的配置

server="webserver"

当tomcat HTTP端口直接提供web服务时，此配置生效，加入此配置，将会替换http响

应server header部分的默认配置，默认是Apache-Coyote/1.1

示例：

[root@tomcat01 conf]# curl --head 127.0.0.1:8080

HTTP/1.1 403 Forbidden

Server: Apache-Coyote/1.1

Cache-Control: private

Expires: Thu, 01 Jan 1970 08:00:00 CST

Content-Type: text/html

Content-Length: 559

Date: Sun, 31 Dec 2017 14:28:10 GMT

修改配置：

connectionTimeout="20000"

redirectPort="8443" server="nginx1.1"/>

修改后的结果

[root@tomcat01 scripts]# curl --head 10.204.3.7:8080

HTTP/1.1 403 Forbidden

Cache-Control: private

Expires: Thu, 01 Jan 1970 08:00:00 CST

Content-Type: text/html

Content-Length: 559

Date: Sun, 31 Dec 2017 14:33:57 GMT

Server: nginx1.1

访问限制

通过限制，限制访问的ip来源

ip的白名单，拒绝非白名单IP的访问，此配置主要是针对高保密级别的系统，

起停脚本权限回收

去除其他用户对tomcat的bin目录下的shutdown.sh startup.sh catalina.sh的执行权限

chmod -R 744 tomcat/bin/*

访问日志格式规范

开启tomcat默认访问日志中的referer和User-Agent记录，是为了一旦出现安全问题能够更好的根据

日志进行问题排查

prefix="localhost_access_log." suffix=".txt" pattern="%h %l %u %t %r %b %{Referer}i %{User-Agent}i $D" resolveHosts="false" />

Tomcat的状态管理和host管理

管理状态页文件

/usr/local/tomcat8/webapps/manager

修改配置文件

vim /usr/local/tomcat8/conf/tomcat-users.xml

在最后段前添加的内容如下：

访问状态页

http://10.204.3.6:8080/manager

伦斯特

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
linux tomcat安全设置,tomcat 安全配置

Tomcat 安全管理配置规范管理端口保护8005tcp6 0 0 127.0.0.1:8005 :::* LISTEN 35830/java[root@apache01 webapps]# telnet 127.0.0.1 8005Trying 127.0.0.1...Connected to 127.0.0.1.Escape character is '^]'.SH...
复制链接

扫一扫