- 弱口令拿shell
- 补丁和漏洞管理:必须及时安装与安全性相关的tomcat补丁,可以订阅下面的网站进行查看:http://tomcat.apache.org/lists.html#tomcat-announce
- 设置tomcat服务权限最小化:
useradd -s /sbin/nologin tomcat
/usr/lib/systemd/system/tomcat8.service
在tomcat.service下添加
User=tomcat
Group=tomcat
chown -R tomcat:tomcat /usr/local/tomcat
- 网络级限制
修改文件:/usr/local/tomcat/webapps/manager/META-INF/context.xml
<Value className="org.apache.catalina.valves.RemoteHostValve">
allow=".*\.admins\.domain\.com"
/>
- 用户管理
- 隐藏tomcat版本信息:修改$CATALINA_HOME/conf/server.xml 在Connector结点添加server字段。 还有修改文件/usr/local/tomcat/lib/org/apache/catalina/util
- 关闭自动部署
- session超时设置
修改文件/conf/web.xml
<session-config>
<session-timeout>20</session-timeout>
</session-config>
- 启动cookie的HttpOnly属性
修改文件CATALINA_BASE/conf/context.xml
<Context useHttpOnly='true' .../>