TOMCAT安全配置

最新推荐文章于 2020-12-05 16:38:11 发布
原创 最新推荐文章于 2020-12-05 16:38:11 发布 · 378 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #前端 #web.xml #ViewUI

本文提供了一套详细的Tomcat安全配置方案,包括删除默认文件、禁用管理后台、配置独立用户、禁止目录列表显示、开启访问日志、禁用JMX和AJP等功能,以及调整目录权限和限制上传目录执行脚本的方法。
[b]删除默认文件[/b]


删除TOMCAT默认示例文件、帮助文件、后台管理界面等,禁止使用manager/admin管理后台。需删除的文件和目录清单如下:
[quote]
$CATALINA_BASE/server/webapps/manager
$CATALINA_BASE/server/webapps/host-manager
$CATALINA_BASE/webapps/balancer
$CATALINA_BASE/webapps/manager
$CATALINA_BASE/webapps/host-manager
$CATALINA_BASE/webapps/webdav
$CATALINA_BASE/webapps/tomcat-docs
$CATALINA_BASE/webapps/jsp-examples
$CATALINA_BASE/webapps/servlets-examples
$CATALINA_BASE/webapps/examples
$CATALINA_BASE/webapps/docs
$CATALINA_BASE/conf/tomcat-users.xml[/quote]

[b]启动帐号[/b]

建立独立用户,用户名和组名均为tomcat,不设置密码(即禁止SSH登录),tomcat进程以此帐号身份运行,严禁以root权限运行tomcat,禁止以个人帐号或其他有shell权限的帐号运行tomcat。可选如下方法之一来实现非ROOT启动tomcat:

[list]
[*]修改启动脚本
[/list]

在$CATALINA_BASE/startenv.sh里面export环境变量:

export TOMCAT_USER=tomcat

同时需要修改$CATALINA_HOME/bin/startup.sh


exec "$PRGDIR"/"$EXECUTABLE" start "$@"

修改为:
if [ -z "$TOMCAT_USER" ]; then
    exec "$PRGDIR"/"$EXECUTABLE" start "$@"
else
    exec su $TOMCAT_USER -c "$PRGDIR/$EXECUTABLE start $@"
fi

[list]
[*]使用jsvc来启动tomcat
[/list]

在jsvc配置文件里面指定参数

[quote]-u tomcat[/quote]

[b]禁止列目录[/b]
配置$CATALINA_BASE/conf/web.xml文件,防止直接访问目录时由于找不到默认主页而列出目录下所有文件。
<init-param>
            <param-name>listings</param-name>
            <param-value>false</param-value>
        </init-param>


[b]打开access log[/b]
按小时或按天记录。prefix/fileDateFormat/pattern可自定义,但必须记录关键信息,例如:源IP,Host、时间、请求、状态码、数据大小、UA等。注意:如果前端是NG做反向代理,默认的pattern="combined"和pattern="common"不能记录用户的真实IP,必须自定义pattern,记录客户端真实IP(X-Real-IP)
[quote]
<Valve className="org.apache.catalina.valves.AccessLogValve"
directory="logs" prefix="xx" suffix=".log"
fileDateFormat="yyyy-MM-dd-HH"
pattern="%a %l %u %t "%r" %s %b "%{Referer}i" "%{User-Agent}i" " %{X-Real-IP}i"
resolveHosts="false"/> [/quote]

[b]禁止使用jmx[/b]

如之前已经启用,在启动脚本里面(catalina.sh或startenv.sh)删除CATALINA_OPTS变量里面jmxremote相关参数即可。


[b] 禁止使用AJP[/b]

配置$CATALINA_BASE/conf/server.xml文件,注释或删除如下部分。

注释前
[quote]
<Connector port="*" maxThreads="*"
enableLookups="false" redirectPort="*" protocol="AJP/**" />[/quote]

[b]目录权限
[/b]
默认情况下,tomcat启动用户对WEB目录下所有文件及子目录应无写权限。标准配置:文件属主为root.root,权限为755。

日志文件及cache文件应放在WEB目录之外
[b]

上传目录禁止执行[/b]

如tomcat需支持上传功能,需要对WEB目录下某些目录有写权限,那么应该限制这些上传目录禁止执行脚本。

appdir路径有几种可能:

(1) 默认位置

appdir="$CATALINA_BASE/webapps/ROOT"

(2) 默认位置下指定了appname

appdir="$CATALINA_BASE/webapps/$appname"

(3)通过docBase参数指定的路径

appdir="$docBase"

这些是通过UrlRewriteFilter模块来限制的示例配置,如果WEB-INF及相关目录不存在,创建一个即可。


[b]设置规则禁止上传目录执行jsp[/b]

可以使用
[quote]<urlrewrite>
<rule>
<from>^[\./]*/upload/.*\.jsp$</from>
<to>/deny.html</to>
</rule>
</urlrewrite>[/quote]
iteye_12291
关注
10.tomcat 安全管理规范
愿听风成曲
05-30 1062
把服务以普通用户的身份运行。1-1024 端口特权端口只能 root 使用。tomcat 报错的时候 显示包含版本信息的页面。文件列表 nginx autoindex。8.5 以后版本 700。
tomcat学习|tomcat的启动过程
微笑的小小刀
08-15 178
开头说两句小刀博客:https://www.lixiang.red小刀公众号: 程序员学习大本营学习背景在前两篇中,我们讲述了tomcat的源码结构https://www.lixian...
apache禁止某些目录asp、php、jsp文件运行
一夜长风的专栏
02-02 1058
web站点中,有些上传目录是开放的,会有恶意上传文件的行为,为了安全起见,可以在apache中设置禁止在这些目录中运行某些文件, 网站访问量比较大时会生成很大的日志文件,为了便于管理,可以每天生成一个日志文件,并定期删除掉,如下设置
sql注入预防
phphot
04-05 1814
 一、 SQL注入攻击的简单示例。statement := “SELECT * FROM Users WHERE Value= ” + a_variable + “  上面这条语句是很普通的一条SQL语句,在输入变量的时候,输入以下内容SA001’;drop table c_order–。那么以上这条SQL语句在执行的时候就变为了SELECT * FROM Users WHERE Value= ‘
tomcat 上传目录禁止解析脚本_10、Linux云计算系列CentOS6网络服务—Tomcat
weixin_39624094的博客
12-05 497
Java web环境搭建1. 初识 TomcatTomcat 服务器是一个免费的开放源代码的 Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试 JSP 程序的首选。Tomcat 是 Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行 tomcat 时,它实际上作为一个与 Apache 独立的进程单独运...
基于Tomcat安全配置与性能优化详解
09-30
### Tomcat安全配置 #### 版本安全升级 - **选择稳定版本**:在选择Tomcat版本时,应避免采用最新发布的版本,而是选择当前大版本下较为稳定且经过一段时间考验的版本,例如在6.0和7.0版本中选择。 - **跨版本升级...
应用安全-浅谈LINUX系统TOMCAT安全配置
最新发布
06-25
tomcat安装及配置教程
ApacheTomcat安全配置说明及相关工具
05-19
网络安全越来越重要,将这些年来客户要求的安全配置整理了一下,其中包含各种安全配置和相关工具其中包含: 1. Tomcat 证书配置 2. 隐藏程序出错信息 3. 隐藏服务器信息 4. 关闭热部署功能 5. 关闭管理功能和默认主页 6...
Tomcat NIO(16)-文件上传
weixin_46073333的博客
12-05 254
在上一篇文章中我们主要介绍了 tomcat nio 中的长连接,包括长连接开启和关闭的条件,每个长连接可以复用的请求数目等等,在这里我们介绍 tomcat文件上传的支持。对于 htt...
UrlRewrite 关于地址重写来增加安全性
lvkemitu的博客
11-28 2054
UrlRewrite 关于地址重写来增加安全性
Tomcat安全配置
lee_yanyi的博客
03-26 2905
安全配置要求 帐户口令安全 帐户共用 编号 Tomcat-01001 名称 应为不同的用户分配不同的Tomcat帐户,不允许不同用户间共享Tomcat帐户。 操作指南 1、参考配置操作 修改 $CATALINA_HOME/co...
tomcat安全配置
yumushui的专栏
07-28 1712
一、目的 本标准是Qunar信息系统安全技术标准的一部分,主要目的是根据信息安全管理政策要求,为我司tomcat配置提供安全标准。  二、范围 适用于我司所有tomcat。  三、内容  3.1 版本 同一应用,TOMCAT和JDK使用统一版本,生成环境TOMCAT和JDK由OPS部门或PE维护,其他人员禁止变更。当前指定的最低版本如下:
Tomcat服务安全加固
weixin_34357887的博客
06-29 321
Tomcat服务默认启用了管理后台功能,使用该后台可直接上传 war 文件包对站点进行部署和管理。由于运维人员的疏忽,可能导致管理后台存在空口令或者弱口令的漏洞,使得黑客或者不法分子可以利用该漏洞直接上传 Webshell 脚本导致服务器沦陷。 通常 Tomcat 后台管理的 URL 地址为 http://iP:8080/manager/html/, 如下图所示: 黑客通过猜解到的口令登录 To...
linux下tomcat8启动用的环境配置脚本setenv.sh
lin252552的博客
08-29 8622
文件放入tomcat的bin目录中以加载 新建setenv.sh echo "start set env" echo "$CATALINA_BASE" JAVA_OPTS="-server -d64 -Xms512M -Xmx512M -Xss512k            -XX:+AggressiveOpts -XX:AutoBoxCacheMax=20000            -...
Tomcat安全加固配置
09-05 476
Tomcat服务默认启用了管理后台功能,使用该后台可直接上传 war 文件包对站点进行部署和管理。如果疏忽,可能导致管理后台存在空口令或者弱口令的漏洞,使得黑客或者不法分子可以利用该漏洞直接上传 Webshell脚本导致服务器沦陷。 通常 Tomc...
Tomcat 安全配置与性能优化
weixin_34067102的博客
01-27 470
       Tomcat 是 Apache软件基金会下的一个免费、开源的WEB应用服务器,它可以运行在 Linux 和 Windows 等多个平台上,由于其性能稳定、扩展性好、免费等特点深受广大用户喜爱。目前,很多互联网应用和企业应用都部署在 Tomcat 服务器上,比如我们公司,哈。       之前我们 tomcat 都采用的是默认的配置,因此在安全方面还是有所隐患的。上周对测试环境的所有服...
tomcat配置默认访问工程目录
weixin_34293246的博客
07-01 250
在实际的开发测试中,访问路径加工程名不免有点麻烦,例如有web工程名为:sunmojd,那么在tomcat的server.xml中的配置如下:找到标签:<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true" xmlValidation="false" x...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值