Title:Linux-tomcat安全配置
tomcat 测试版本:tomcat7,tomcat8
0x00 删除默认目录
tomcat部署完毕,删除 $CATALINA_HOME/webapps下默认的全部目录文件
eg: rm -rf /opt/tomcat8/webapps/*
相关案例:Apache-tomcat样例目录存在漏洞
0x01 隐藏tomcat版本信息
修改 $CATALINA_HOME/conf/server.xml, 关注Connector节点的server字段
/opt/tomcat7_x/lib/org/apache/catalina/util/ServerInfo.properties,删除敏感信息即可;
0x02 用户管理
/opt/tomcat7_xxx/conf/tomcat-users.xml 下,屏蔽或删除用户权限相关配置
0x03 自动部署关闭
/opt/tomcat7_xxx/conf/server.xml 下,unpackWARS="false" autoDeploy="false"
0x04 自定义错误页面
/opt/tomcat7_xxx/conf/web.xml 下,根据需要自定义404,500等error页面
0x05 禁止列目录
/opt/tomcat7_xxx/conf/web.xml 下,设置如下参数。高版本(tomcat7及以上默认禁止)
0x06 服务权限控制
tomcat服务原则上以非root用户启动,应用部署目录权限和tomcat服务启动用户分离。
0x07 AJP端口管理
AJP是为tomcat与HTTP服务器之间通信而定制的协议,能够提供较高的通信速度和效率。如果tomcat前端放的是apache,会用到AJP连接器。前端如果是由nginx做反向代理则可以不适用此连接器,此时需要注销掉该连接器。
0x08 启用cookie的HttpOnly属性
启用HttoOnly属性的依据:将cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,增加cookie的安全性。
文章归档:http://secscorpio.top/?p=42