tomcat安全

最新推荐文章于 2024-08-30 18:40:43 发布
最新推荐文章于 2024-08-30 18:40:43 发布
阅读量98 收藏
点赞数
文章标签: java 网络 web.xml
原文链接:http://www.cnblogs.com/smlile-you-me/p/11409680.html
版权
tomcat安全

Tomcat 是 Java Servlet、JSP、Java 表达式语言和 Java WebSocket 技术的开源实现,被广泛使用在 Java 语言开发的大型网站系统中。我们可以从以下几个方面来保障 Tomcat 的安全。

保持版本更新

建议在部署时采用最新稳定版的 Tomcat,并在运维过程中追踪官方版本发布的情况,选择升级到最新稳定版。

删除默认应用

从官网下载了 Tomcat 安装文件后,在其 webapps 目录下默认有如下的应用:docs、examples、host-manager、manager、ROOT。删除这些默认应用,可以减少安全风险。

服务降权

在实践中,Tomcat 服务器一般部署在负载均衡设备或者 Nginx 之后,服务的监听端口应设置为 1024 以上(例如常见的 8080)。在这种情况下,笔者建议为 Tomcat 设置专用的启动用户,而并不是使用 root 这一超级权限用户,以限制在发生 Tomcat 入侵后黑客可以获得的权限避免更大的危害。而这也是最小权限原则的实践。例如,通过以下命令建立普通用户 tomcat:

useradd -s /sbin/nologin tomcat
chown -R tomcat:tomcat  /path/to/path/tomcat/
chmod -R 744 /usr/local/tomcat
ret=`id -u tomcat >& /dev/null`
if [ $? -ne 0 ];then
    echo "not exist"
fi

 

管理端口保护

Tomcat 提供了通过 Socket 连接 8005 端口来执行关闭服务的能力,这在生产环境中是极为危险的。通过修改 server.xml 配置文件来禁用该管理端口:

<Server port="8005" shutdown="SHUTDOWN">
修改为
<Server port="-1" shutdown="SHUTDOWN">

 

AJP 连接端口保护

Tomcat 服务器通过 Connector 连接器组件与客户程序建立连接,Connector 组件负责接收客户的请求以及把 Tomcat 服务器的响应结果发送给客户。默认情况下,Tomcat 在 server.xml 中配置了两种连接器,一种使用 AJP,要和 apache 结合使用,一种使用 http。当使用 http 时建议禁止 AJP 端口访问。禁用的方式是在 server.xml 中注释以下行:

<!--<Connector port="8329" protocol="AJP/1.3" redirectPort="8443" />-->

关闭 WAR 包自动部署

默认 Tomcat 开启了对 WAR 包的热部署的。笔者建议关闭自动部署,以防止 WAR 被恶意替换后导致的网站挂马。关闭 WAR 包自动部署的方式在 server.xml 中修改的

<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true">
修改为
<Host name="localhost" appBase="webapps" unpackWARs="false" autoDeploy="false">

 

自定义错误页面

通过自定义错误页面,可以防止在发生未处理的异常时导致的信息泄露。自定义错误页面的方式是编辑 web.xml,在标签上添加以下内容:

<error-page>
<error-code>404</error-code>
<location>/404.html</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/500.html</location>
</error-page>

 

posted on 2019-08-25 22:20  smile-you-me 阅读( ...) 评论( ...) 编辑 收藏

转载于:https://www.cnblogs.com/smlile-you-me/p/11409680.html

weixin_30532837
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat安全
Eamonyu的博客
01-28 237
Tomcat 简介 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 官方网站:https://tomcat.apache.org/ Tomcat安装 安装模式(需要JDK) Windows Service Installer 安装版 Windows zip 解压配置 Linux tar.gz 解压配置 安装配置问题 1.Windows下安装启动后中文乱码 解决:修改 ap
Tomcat 安全
王和平的第三个果园
11-27 628
配置安全 1) 删除webapps目录下的所有文件,禁用tomcat管理界面; 2) 注释或删除tomcat-users.xml文件内的所有用户权限; 3) 禁用8005端口; tomcat的server.xml中定义了可以直接关闭 Tomcat 实例的管理端口(默认8005)。可以通过 telnet 连接上该端口之后,输入 SHUTDOWN (此为默认关闭指令)即可关闭 Tomcat 实例(注意,此时虽然实例关闭了,但是进程还是存在的)。由于默认关闭Tomcat 的端口和指令都很简单。默认端口为8005,
apache-tomcat[7.0.100、8.5.51]windows和linux版本安全版本
03-02
tomcat因为漏洞原因,一些版本tomcat涉及安全问题,先整理tomcat7和tomcat8两个版本下安全(windows和linux)版本提供下载
Tomcat安全
猎户星座
05-14 220
配置安全 一)删除webapps目录下的所有文件,禁用tomcat管理界面; 二)注释或者删除tomcat-users.xml文件内所有用户的权限; 三)更改关闭tomcat指令或者禁用 tomcat的server.xml中定义了可以直接关闭tomcat实例的管理端口(默认8005)。可以通过telnet连接上该端口后,输入SHUTDOWN(此为默认关闭指令)即可关闭tomcat实例。由于默认关闭tomcat的端口和指令都很简单,默认端口为8005,指令为SHUTDOWN。 方案一: 更改端口
gradle中bootspring打包到tomcat上_Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响
weixin_39732640的博客
11-23 102
转载于:腾讯云中间件https://mp.weixin.qq.com/s/svPkWRwHHHlFPNyaMIuiAw01 事件背景6月25日, Apache 官方安全团队通过邮件公开报告了一个高危漏洞,邮件中介绍了 HTTP/2 拒绝服务漏洞的细节及解决方案。如下图所示:漏洞详情链接:http://mail-archives.apache.org/mod_mbox/www-announce/20...
tomcat安全加固手册
05-09
### Tomcat安全加固手册知识点详解 #### 一、Tomcat简介与重要性 Tomcat作为Apache软件基金会(Apache Software Foundation)Jakarta项目的核心组件之一,由Apache、Sun及其他多个机构和个人共同开发完成。得益于...
tomcat 安全规范(tomcat安全加固和规范)
09-29
**Tomcat安全规范详解** Tomcat作为一款广泛应用的开源Web服务器,因其高效的性能和良好的兼容性,被广大Web开发者所喜爱。然而,默认配置可能存在安全隐患,容易成为恶意攻击的目标。为了确保Tomcat安全运行,...
01-阿里云标准-Apache Tomcat 安全基线检查
03-25
阿里云标准-Apache Tomcat 安全基线检查旨在帮助用户遵循安全基线,检查Tomcat安全配置,确保Tomcat服务器的安全运行。 Tomcat 进程运行权限检测 在 Linux 系统中,Tomcat 服务器的进程权限非常重要。如果使用 ...
apache-tomcat8.5.51-windows和linux版本安全版本.zip
11-04
apache-tomcat8.5.51-windows和linux版本安全版本
Tomcat 安全加固
02-21
安全加固,Tomcat是重灾区。所以整理下Tomcat安全加固。升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级.
javaweb网站安全问题web网站安全问题防范安全部署tomcat方法
网站安全专家
06-08 1511
Apache tomcatJAVA开发,JSP运行首选的web环境,国内很多网站,以及平台都在使用tomcat 环境来运行网站,高效,稳定,安全,赢得了国内许多客户。  tomcat 该如何安全设置与部署呢? SINE安全教您一步一步把tomcat安全做到极致。 现在tomcat最新版本是 Apache Tomcat 9.0,M21, http://tomcat.apache.org/downl...
Tomcat8安全与性能调优
welcome to my world
06-20 271
Tomcat8安全与性能调优一、Tomcat安全配置二、Tomcat性能优化2.1.JVM内存调优查看进程jvm占用情况内存参数2.2.GC调优如何查看垃圾收集器几种垃圾回收器指定垃圾回收器三、Tomcat配置server.xml 一、Tomcat安全配置 1. 解压后删除webapps下的所有目录,禁用Tomcat后台管理界面 2. 注释掉tomcat-user.xml文件内的用户权限 3. 禁用tomcat关闭指令SHUTDOWN端口,port="-1",调试命令telnet ip 8005 4
Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响
wangxi06的专栏
02-08 1344
01事件背景 6月25日, Apache 官方安全团队通过邮件公开报告了一个高危漏洞,邮件中介绍了 HTTP/2 拒绝服务漏洞的细节及解决方案。如下图所示: 漏洞详情链接: http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3Cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3E 翻译 漏洞名称:Apache Tomcat HTTP/2 拒绝服务漏洞 漏洞编..
Tomcat8安全设置及性能调优
ytangdigl的博客
06-10 361
转两篇文章:从以下几个方面进行安全设置和性能调优 1、禁用8005端口 2、关闭自动部署 3、maxThreads 连接数限制修改配置 4、Connector 参数优化配置 5、隐藏或修改 Tomcat 版本号 6、删除禁用默认管理页面以及相关配置文件 作者任我乐:Apache Tomcat 8.5 安全配置与高并发优化 作者奋斗吧兄弟:tomcat8性能优化 ...
Tomcat12——Tomat安全
武汉小喽啰
01-28 462
1. 配置安全 1)删除webapps目录下的所有的文件,禁用tomcat管理界面 2)注释或删除tomcat-users.xml文件内的所有用户权限 3)更改关闭tomcat指令或者禁用 tomcat的server.xml中定义了可以直接关闭tomcat实例的管理端口(默认8005)。可以通过Telnet连接上该端口之后,输入SHUTDOWN(此为默认关闭命令)即可关闭t...
Java基础(6)- Java代码笔记3
最新发布
weixin_47062560的博客
08-30 865
数据类型[][] 数组名 = new 数据类型[m][n]数据类型 数组名[][] = new 数据类型[m][n]数据类型[] 数组名[] = new 数据类型[m][n]m:代表二维数组长度n:代表二维数组中每个一维数组的长度。
Tomcat安全加固操作指南
"TOMCAT安全加固手册.docx" 在IT行业中,TOMCAT作为一款广泛应用的开源Java Servlet容器,其安全性对于任何依赖它的业务系统都至关重要。这份"TOMCAT安全加固手册"提供了一套详细的操作指南,旨在确保TOMCAT在Linux...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值