linux tomcat安全设置,Tomcat安全加固方案(Linux)

最新推荐文章于 2024-05-17 01:29:52 发布
最新推荐文章于 2024-05-17 01:29:52 发布
阅读量514 收藏 1
点赞数
文章标签: linux tomcat安全设置

一、 Tomcat版本安全

在不升级大版本的情况下,升级到最新稳定版本。

1. Tomcat6.x:该版本已经于2016年12月31日停止支持,最新稳定版本为6.0.53,下载地址:https://archive.apache.org/dist/tomcat/tomcat-6/v6.0.53/bin/   由于该版本不再更新,建议如果条件允许,还是更新版本至Tomcat7.0.94,Tomcat6漏洞列表页面:http://tomcat.apache.org/security-6.html  。

二、 Tomcat服务降权

不使用root用户启动Tomcat,使用普通用户启动(所有操作均在root用户下)。

1. 创建普通用户hcy-manager,用户密码为Hcycom123$%^,命令如下:

groupadd -g 9916 hcy-manager

useradd -u 9916 -g hcy-manager -s /usr/sbin/nologin hcy-manager

2. 修改Tomcat目录文件用户权限,命令如下:

chown -R hcy-manager:hcy-manager apache-tomcat-6.0.53

chown -R hcy-manager:hcy-manager apache-tomcat-7.0.94

查看目录用户权限,验证是否修改成功

796f8d3329e042e15b06fb81f9143410.png

1. 修改Tomcat目录文件读写运行权限,命令如下:

chmod -R 700 apache-tomcat-6.0.53

chmod -R 700 apache-tomcat-7.0.94

查看目录读写权限,验证是否修改成

29541f02bc6f38b809faac5979beafc7.png

1. hcy-manager用户启动Tomcat(以Tomcat6为例,Tomcat7操作相同)

修改bin目录下的startup.sh和shutdown.sh文件,命令如下:

mv startup.sh startup_.sh

mv shutdown.sh shutdown_.sh

在bin目录下新建startup.sh和shutdown.sh文件,标黄部分自行替换,文件内容如下:

# startup.sh

#!/bin/bash

usermod -s /bin/bash hcy-manager

su - hcy-manager -c /opt/apache-tomcat-6.0.53/bin/startup_.sh

usermod -s /sbin/nologin hcy-manager

# startup.sh

#!/bin/bash

usermod -s /bin/bash hcy-manager

su - hcy-manager -c /opt/apache-tomcat-6.0.53/bin/shutdown_.sh

usermod -s /sbin/nologin hcy-manager

再次执行2、3步骤,然后使用root用户执行startup.sh和shutdown.sh进行启动和停止

8f4b8aacca69eee84f61aabbc8f448de.gif

一、 Tomcat端口保护

Tomcat默认启动三个端口,8080、8005、8009,8080是默认访问端口,8005是shutdown端口,8009是AJP端口

1. 修改默认8080端口

修改server.xml文件

修改前:

eddf3e5fa6199b51c167958d963f3531.png

1. 关闭AJP的8009端口

修改server.xml文件

8a6ede790ad5c502f257e27514e5c8bc.png

验证查看

重启Tomcat,查看默认端口已消失,只能查看到修改后的应用端口

禁用管理程序

1. 删除webapps目录下,除开发应用外的其它目录,包括:docs、examples、host-manager、manager和ROOT,执行命令:

rm -rf docs  examples  host-manager  manager  ROOT

2. 删除conf目录下tomcat-users.xml文件,执行命令:

rm -rf tomcat-users.xml

3. 清空Tomcat缓存work目录,执行命令:

rm -rf Catalina

4. 重启Tomcat验证

feffe137057ecf6bdfaf3ff7d57761c0.png

删除后是这样的:

3559e5fd88bf13566a2197f1734e806a.png

隐藏Tomcat版本信息查看当前版本信息,执行Tomcat的bin目录下的version.sh,结果如下:

b0262aab2f27df0723c3afd7802ee539.png

修改Tomcat版本信息,拷贝Tomcat目录下的lib文件夹中的catalina.jar文件到本地,使用压缩工具打开,直接修改,修改完成后直接保存至catalina.jar文件,具体步骤如下图:

5b3b2e5e4b01f2dfa3264e102180a180.png

保存修改 验证修改是否成功

关闭war包自动部署

默认 Tomcat 是开启了对war包的热部署的,为了防止被植入木马等恶意程序,因此我们要关闭自动部署。

1. 修改Tomcat下的conf文件夹下的server.xml文件

修改前为自动部署、自动解压war文件:

837e42c3bd46c3cb18adbf68c9feab6f.png

禁止目录文件自动列出

直接修改Tomcat下的conf目录下的web.xml文件,true为列出,false为不列出,请设置为false

4e495ad1d88fc588924778f591c5f3e6.png

多应用隔离

建议不要使用 Tomcat 的虚拟主机,推荐每个站点使用一个实例。即,可以启动多个 Tomcat,而不是启动一个 Tomcat 里面包含多个虚拟主机。因为 Tomcat是多线程,共享内存,任何一个虚拟主机中的应用崩溃,都会影响到所有应用程序。虽然采用多实例的方式会产生过多的开销,但至少保障了应用程序的隔离和安全。

查看conf目录下的server.xml文件,如果有多个Host标签对,则表示有多个虚拟主机,建议分开使用,开启多个Tomcat。

脚本权限回收

直接修改Tomcat下的bin目录下的所有执行脚本,执行命令:

chmod -R 700 /opt/tomcat/bin/*

查看结果,截图如下:

5e054847cfd8975ab19b88312cd23369.png

更多

宋老虎
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux平台Tomcat安全加固.pdf
09-06
Linux平台Tomcat安全加固.pdf
linuxtomcat安全配置
weixin_34302561的博客
05-25 86
0x00 删除默认目录 安装完tomcat后,删除$CATALINA_HOME/webapps下默认的所有目录文件 rm -rf /srv/apache-tomcat/webapps/* 0x01 用户管理 如果不需要通过web部署应用,建议注释或删除tomcat-users.xml下用户权限相关配置 0x02 隐藏tomcat版本信息 方法一 修改$CATALINA_H...
Tomcat服务安全加固和优化_tomcat加固使用安全的http请求(1)
最新发布
2401_84765537的博客
05-17 397
屏蔽版本关闭shutdown端口禁用管理界面自定义错误页面AJP协议修改Cookies安全Tomcat安全规范Tomcat性能优化Linux 修改catalina.sh 文件windows修改文件其它内容tomcat项目的部署方式第一种:项目直接放入 webapps 目录中第二种:修改 conf/server.xml 文件第三种 在下新增相同IP不同端口部署。
Tomcat7安全加固指南
weixin_34111819的博客
05-06 229
   大家都知道,Tomcat是Apache软件基金会下的一个免费、开源的WEB应用服务器,可以运行在Linux和Windows等多个平台上,由于其性能稳定、扩展性好、免费等特点深受广大用户喜爱。目前,很多互联网应用和企业应用都部署在Tomcat服务器上。    正是因为Tomcat有上述一系列的好处,所以很多用户都对Tomcat有着深入的研究,包括Tomcat的目录结构,漏洞分析等等,这时候如...
TOMCAT 中间件安全加固
单核CPU的小朋友的博客
04-28 1884
TOMCAT 中间件安全加固 1、 tomcat中间件安装: yum install httpd* -y yum install tomcat* -y 然后就能看到系统中多出了个端口: 其中8005端口是管理口,8080是默认的tomcat页面 我们可以通过访问本地8080口来判断服务是否安装成功 其中下文会详细介绍如何更改tomcat的管理口和页面显示端口。 其中, Tomcat配置文件...
linux云主机加固系列_Tomcat配置安全优化
Anprou的博客
11-14 1960
网络运维和网络管理人员必看
TOMCAT安全加固手册.docx
03-03
TOMCAT安全加固手册
Tomcat加固方案.pdf
03-31
Tomcat加固方案
linux安全加固.doc
09-28
5. **Linux安全加固措施**: - **密码策略**:设置最小密码长度(如在`/etc/login.defs`中设置),并定期强制密码过期。 - **限制root用户**:禁止root用户直接通过telnet或rlogin登录,建议使用SSH。 - **检查...
安全加固规范文档(系统,数据库)
01-16
Linux安全加固包括设置强密码策略、限制root权限的使用、启用防火墙(如iptables或firewalld)、定期更新系统补丁、限制不必要的服务和端口、控制文件系统权限、日志监控以及安装安全增强的Linux内核(如SELinux或...
Apache Tomcat 7.x安全加固指南
jklbnm12的博客
11-25 388
1 引言 由于官方尚未发布Tomcat 7的强化指南,ERNW便总结了相关的设置,并制作出本文中列出的清单。尽管有大量的设置可以被应用,但本文旨在提供一些加固方法的基础。可能对操作系统功能造成严重影响的并且需要进行进一步大量测试的设置并未列在该清单中,或者被标记为可选。 我们用“强制”或“可选”标记了此清单中的每个推荐设置,用以清楚的表达从我们的角度来看哪个设置是必须的(强制)或者是应该的(可选)。“可选”也意味着我们推荐你应用此设置,但这可能会影响系统的必需功能。 2 操作与系统安全 2.1 补丁与漏洞管
Tomcat 安全加固
02-21
安全加固Tomcat是重灾区。所以整理下Tomcat安全加固。升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级.
tomcat安全加固
12-09
tomcat服务器是多数用java开发的web站点首选之一,然而默认的安全选项并不是那么完美,此教程用于tomcat安全加固问题。
tomcat 安全规范(tomcat安全加固和规范)
01-10
tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。以下是一些安全加固的方法: 版本安全  升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级。 服务降权 不要使用root用户启动tomcat,使用用普通用户启动Tomcat,集群内用户名统一UID 端口保护 1 更改tomcat管理端口8005 ,此端口有权限关闭tomcat服务,但要求端口配置在8000~8999之间,并更改shutdown执行的命令 2 若 Tomcat 都是放在内网的,则针对 Tomc
apache-tomcat-7.0.90-linux
09-19
========>压缩包内有文件:apache-tomcat-7.0.90.tar.gz
tomcat 版本_企业内部构架ETL操作1-Tomcat
weixin_39580042的博客
11-25 203
Tomcat部署1、部署环境:系统:Windows Server 2012 R2 ,64位安装Java环境:我选择的版本是jdk_8.0.1310.11_64,此为64位版本。一般Java8版本相对比较稳定。为了方便,我默认设置在D:Program FilesJava目录下,为了维护方便把jre也放在java目录下。2、下载资料首先从Apache的官方网站(http://tomcat.apache...
tomcat加固及优化
末日黄昏的博客
12-10 1918
目录 tomcat加固 1、隐藏Response Header中server信息; 2、隐藏tomcat版本信息; 3、禁用关闭端口及AJP端口(AJP无使用需求的情况下); 4、关闭热部署,即每次变动的类需要重新启动才能生效,避免直接部署造成的不安全因素; 5、限制访问IP; 6、增加日志内容; 7、删除webapps下默认的样例及管理端(保持webapps下只有所需的项目即可,...
关闭linux系统端口占用,关闭linux系统端口的两种方法
weixin_42520796的博客
04-29 5879
1、通过杀掉进程的方法来关闭端口每个端口都有一个守护进程,kill掉这个守护进程就可以了每个端口都是一个进程占用着,第一步、用下面命令netstat -anp |grep 端口找出占用这个端口的进程,第二步、用下面命令kill -9 PID杀掉就行了2、通过开启关闭服务的方法来开启/关闭端口因为每个端口都有对应的服务,因此要关闭端口只要关闭相应的服务就可以了。linux中开机自动启动的服务一般都存...
tomcat的work目录
热门推荐
冯索的专栏
10-14 2万+
1    用tomcat作web服务器的时候,部署的程序在webApps下,这些程序都是编译后的程序(发布到tomcat的项目里含的类,会被编译成.class后才发布过来,源文件没有发布过来,但这里的jsp没有经编译的)。tomcat有一个work目录,里面存放了页面的缓存,访问的jsp都会编译(从 work里进入Catalina后的如localhost站点文件夹下的项目,我们可以看到那些js

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值