生产环境Tomcat安全规范

最新推荐文章于 2024-05-08 09:22:10 发布
最新推荐文章于 2024-05-08 09:22:10 发布
阅读量955 收藏 1
点赞数
分类专栏: Ubuntu WebServer 文章标签: tomcat

Tomcat的安全

生产环境tomcat规范
1.更改服务监听端口

若 Tomcat 都是放在内网的,则针对 Tomcat 服务的监听地址都是内网地址

标准配置:<Connector port="10000" server="webserver"/>

2.telnet管理端口保护

修改默认的 8005 管理端口不易猜测(大于1024),但要求端口配置在8000~8999之间

修改SHUTDOWN命令为其他字符串
标准配置:<Server port="8578" shutdown="dangerous">

3.AJP连接端口的保护

修改默认的ajp 8009端口为不易冲突(大于1024),但要求端口配置在8000~8999之间

通过iptables规则限制ajp端口访问的权限仅为线上机器,目的在于防止线下测试流量被apache的mod_jk转发至线上tomcat服务器

标准配置:<Connector port="8349" protocol="AJP/1.3"/>

4.禁用管理端

删除默认$CATALINA_HOME/conf/tomcat-users.xml文件,重启tomcat将会自动生成新的文件

删除$CATALINA_HOME/webapps下载默认的所有目录和文件

将tomcat应用根目录配置为tomcat安装目录以外的目录

标准配置:

a.server.xml配置
一种直接修改Host节点信息,表示全局配置

<Host name="localhost"  appBase="/data/www/tomcat_webapps" unpackWARs="true" autoDeploy="false"></Host>

另一种直接在Host节点中新增Context节点,指定具体的项目

<Context path="" docBase="/usr/local/tomcat/webapps/jenkins" debug="0" reloadable="false" crossContext="true">
</Context>

b.在$CATALINA_HOME/conf/Catalina/locathost目录下新增文件 test##20160506172651.xml

<Context displayName="test" docBase="/data/www/tomcat_webapps/test##20160506172651.war" reloadable="false" />

5.隐藏Tomcat的版本信息

针对该信息的显示是由一个jar包控制的,该jar包存放在$CATALINA_HOME/lib目录下,名称为 catalina.jar,通过 jar xf 命令解压这个 jar 包会得到两个目录 META-INF 和 org ,修改 org/apache/catalina/util/ServerInfo.properties 文件中的 serverinfo 字段来实现来更改我们tomcat的版本信息

$ cd $CATALINA_HOME/lib
$ jar xf catalina.jar
$ cat org/apache/catalina/util/ServerInfo.properties |grep -v '^$|#'
$ mkdir -p org/apache/catalina/util
$ vim ServerInfo.properties
server.info=nolinux        # 把这个值改成其它值就行了
自定义错误页面:修改$CATALINA_HOME/conf/web.xml重定向 403/404/500等错误到指定的错误页面

6.降权启动

Tomcat启动用户权限必须非root权限,尽量降低tomcat启动用户的目录访问权限,如需直接对外使用80端口,可通过普通账号启动后,配置iptables规则进行转发,为了防止 Tomcat 被植入 web shell 程序后,可以修改项目文件。要将 Tomcat 和项目的属主做分离,即便被破坏也无法创建和编辑项目文件

7.文件列表访问控制

$CATALINA_HOME/conf/web.xml文件中的default部分的listings的配置必须为false(默认),表示不列出文件列表

8.访问限制

通过配置,限定访问的IP来源

全局设置限定IP和域名访问:

<Host name="localhost"  appBase="/data/www/tomcat_webapps"   unpackWARs="true" autoDeploy="false">
   <Valve className="org.apache.catalina.valves.RemoteAddrValve"  allow="192.168.1.10,192.168.1.30,192.168.2.*" deny=""/>  
   <Valve className="org.apache.catalina.valves.RemoteHostValve"  allow="www.test.com,*.test.com" deny=""/>
</Host>

9.脚本权限回收

控制CATALINAHOME/bin目录下的start.sh、catalina.sh、shutdown.sh的可执行权限,chmod−R744CATALINA_HOME/bin/*

10.访问日志格式规范

开启tomcat默认访问日志中Referer和User-Agent记录

标准配置:

<Valve className="org.apache.catalina.valves.AccessLogValve"
   directory="logs" prefix="localhost_access_log"
     suffix=".txt" pattern="%h %l %u %t &quot;%r&quot; %s %b %{Referer}i %{User-Agent}i %D"
     resolveHosts="false" />

11.Server header重写

在HTTP Connector配置中加入server的配置,server=”chuck-server”
dyson.zhang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat安全设置规范
weixin_45758890的博客
04-23 1542
1、版本安全 定期升级到最新稳定版,但不建议进行跨版本升级。 2、服务降权 不使用root用户启动tomcat,使用用普通用户启动Tomcat。 3、telnet服务端口保护 更改tomcat管理端口8005为不易猜测端口,但要求端口配置在8000~8999之间,并更改shutdown执行的命令,shutdown命令可通过telnet远程对服务进行关闭,有一定的风险。 ...
Tomcat生产环境应用 (1)1
08-08
本文将深入探讨Tomcat生产环境中的应用,包括核心组件认知、server.xml配置详解以及IO模型介绍。 首先,让我们了解Tomcat的架构。Tomcat的架构基于组件设计,每个组件都有其特定的功能,且可以根据需求进行替换,...
Apache Tomcat九项安全加固标准配置(阿里云标准安全基线检查)
chaishen10000的专栏
05-13 4005
一、开启日志记录 | 安全审计 描述 Tomcat需要保存输出日志,以便于排除错误和发生安全事件时,进行分析和定位 检查提示 – 加固建议 1、修改Tomcat根目录下的conf/server.xml文件。 2、取消Host节点下Valve节点的注释(如没有则添加)。 <Valve className=“org.apache.catalina.valves.AccessLogValve” directory=“logs” prefix=“localhost_access_log” suffix=".t
中间件安全Tomcat常见漏洞
最新发布
zzz6583zz的博客
05-08 965
链接。
Tomcat配置日志生产功能
weixin_33935505的博客
08-20 100
在平时启动tomcat的时候经常会由于某些莫名其妙的原因导致启动不起来,比如常见的Error listenerStart 错误,像这种错误描述的比较宽泛而难以定位,对,有些人说这是在web.xml中配置的关于<listener><listener-class>org.springframework.web.context.contex...
Tomcat 配置规范(Linux)-安全
q908544703的博客
07-06 2928
一、账号口令 查是否设置口令长度和复杂度 在tomcat-users.xml中设置密码:密码长度不小于8位,密码包括数字、小写字母、大写字母和特殊符号中至少两类。 检查是否禁用超级用户启用tomcat 禁用超级用户启用tomcat,在普通用户的模式下,运行tomcat的启动脚本。 检查是否设置在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限 在tomcat-users.xml中,修...
Tomcat安全配置
lee_yanyi的博客
03-26 2768
安全配置要求 帐户口令安全 帐户共用 编号 Tomcat-01001 名称 应为不同的用户分配不同的Tomcat帐户,不允许不同用户间共享Tomcat帐户。 操作指南 1、参考配置操作 修改 $CATALINA_HOME/co...
tomcat6.0配置sql2005数据库连接池.doc
04-25
- `crossContext="true"`允许跨应用上下文访问资源,但可能带来安全风险,生产环境中通常不启用。 - `WatchedResource`用于监控特定资源的变化,当变化发生时,Tomcat会重新加载应用。 - `res-ref-name`是应用内对...
ActiveMq-JMS简单实例使用tomcat.pdf
10-04
【ActiveMQ-JMS简单实例使用Tomcat】是一个关于如何在Tomcat环境下集成并使用...但需要注意的是,实际生产环境中可能还需要考虑安全性、集群、持久化、事务处理等高级特性,这些都是在基础之上进一步深入学习的内容。
Tomcat面试专题及答案.pdf
09-14
Tomcat是由Apache软件基金会开发的Java Servlet和JavaServer Pages(JSP)容器,遵循Java EE规范中的Web应用程序部署描述符(web.xml)。它是开源且免费的,常用于部署Servlet和JSP应用。 ### 2. Tomcat与Jetty、...
tomcat安装和配置
09-17
TOMCAT安装和配置】 TOMCAT是Apache软件基金会Jakarta项目中的核心组件,它是一个流行的开源Servlet和JSP容器,...在实际操作中,还应注意日志监控、安全配置以及性能优化等方面,确保TOMCAT生产环境中运行良好。
tomcat服务器 安全配置文件,Tomcat安全配置规范
weixin_39823017的博客
08-11 308
1、参考配置操做(1)使用JDK自带的keytool工具生成一个证书JAVA_HOME/bin/keytool -genkey –alias tomcat –keyalg RSA-keystore /path/to/my/keystore(2)修改tomcat/conf/server.xml配置文件,更改成使用https方式,增长以下行:Connector classname=”org.apa...
tomcat十大安全优化措施
u010448530的博客
03-08 442
1、telnet管理端口保护 使用telnet连接进来可以输入SHUTDOWN可以直接关闭tomcat,极不安全,必须关闭。可以修改默认的管理端口8005改为其他端口,修改SHUTDOWN指令为其他字符串。 # vi conf/server.xml <Server port="8365" shutdown="IN0IT"> 2 AJP连接端口保护 Tomcat服务器通过Co...
Tomcat标准目录
xinluke的专栏
05-30 471
Tomcat的一级目录bin conf lib logs temp webapps work总结Tomcat的一级目录不可以删除,否则被引用了,删除了就会出现找不到此目录的异常,导致tomcat报错。 比如temp目录删除了,temp下面的文件要创建的时候就会报错,导致tingyun的java启动不起来。
tomcat安全配置
yumushui的专栏
07-28 1603
一、目的 本标准是Qunar信息系统安全技术标准的一部分,主要目的是根据信息安全管理政策要求,为我司tomcat配置提供安全标准。  二、范围 适用于我司所有tomcat。  三、内容  3.1 版本 同一应用,TOMCAT和JDK使用统一版本,生成环境TOMCAT和JDK由OPS部门或PE维护,其他人员禁止变更。当前指定的最低版本如下:
Tomcat配置,跳转,安全
jinwanmeng的专栏
06-10 1048
1.index.jspz //request.getRequestDispatcher("/lemi").forward(request, response); response.sendRedirect("/lemi"); %>
Tomcat部署时war和war exploded区别以及平时踩得坑
热门推荐
徐刘根的博客
02-23 16万+
war和war exploded的区别在使用IDEA开发项目的时候,部署Tomcat的时候通常会出现下边的情况:是选择war还是war exploded 这里首先看一下他们两个的区别:war模式:将WEB工程以包的形式上传到服务器 ; war exploded模式:将WEB工程以当前文件夹的位置关系上传到服务器;(1)war模式这种可以称之为是发布模式,看名字也知道,这是先打成war包,再发布;(2
tomcat安全配置参考
煜铭2011
10-15 5866
0x01 基本配置 1 删除默认目录 安装完tomcat后,删除$CATALINA_HOME/webapps下默认的所有目录文件 rm -rf /srv/apache-tomcat/webapps/* 2 隐藏tomcat版本信息 修改$CATALINA_HOME/conf/server.xml,在Connector节点添加server字段,示例如下 <...
tomcat-8.0.52
10-10
然而,对于大规模高并发的生产环境,可能需要考虑使用更新版本的Tomcat以获得更好的性能和安全性。 综上所述,Tomcat 8.0.52是Apache Tomcat服务器的一个版本,它提供了许多重要的特性和改进,适合中小型项目或个人...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值