tomcat安全优化

1.telnet管理端保护(强制)

修改主配置文件

vim /usr/local/tomcat8/conf/server.xml

将8005端口进行伪装,更改配置在8000~8999之间进行伪装,关键字进行修改:shutdown=“”

 

 

2.ajp连接端口保护

将8009端口进行伪装,更改配置在8000~8999之间进行伪装

 

 

3.禁用管理端(强制

a.删除默认的{tomcat安装目录}/conf/tomcat-users.xml文件,重启tomcat后将会自动生成新的文件

rm -rf /usr/local/tomcat/conf/tomcat-users.xml

/usr/local/tomcat/bin/shutdown.sh && /usr/local/tomcat/bin/startup.sh

b.删除{tomcat安装目录}/webapps下默认的所有目录和文件

rm -rf /usr/local/tomcat/webapps/

c.将tomcat应用根目录配置为tomcat安装目录以外的目录

 

4.降权启动

a.tomcat 启动用户权限必须为非root权限,尽量降低tomcat启动用户的目录访问权限

b.如果直接对外使用80端口,可通过普通账号启动后,配置iptables规则进行转发

创建tomcat用户

useradd tomcat

将文件进行拷贝

cp -a /usr/local/tomcat8 /home/tomcat/tomcat8_1/

更改目录的用户和组

chown -R tomcat.tomcat /home/tomcat/tomcat8_1/

切换用户启动服务(降权启动)

su -c ' /home/tomcat/tomcat8_1/bin/startup.sh'tomcat

查看用户权限

ps -ef|grep java

5.文件列表的访问控制(强制)

/conf/web.xml文件中的default部分的listings配置必须改为fales

vim /usr/local/tomcat8/conf/web.xml

6.版本信息的隐藏(强制)

修改/conf/web.xml文件中重定向403、404、500等错误到指定的错误页面

例:<error-pages>

<error-code>403</error-code>

<location>/forbidden.jsp</location>

7.启停脚本权限回收

chmod -R 744 tomcat/bin/*

8.禁止列出目录

vim /usr/local/tomcat8/conf/web.xml

110行:

<init-param>

<param-name>listings</param-name>

<param-value>flase</param-value>

</init-param>

9.页面超时

vim /usr/local/tomcat8/conf/web.xml

581行:

<session-config>

<session-timeout>30</session-timeout>

</session-config>

10.默认界面

vim /usr/local/tomcat8/conf/web.xml

4679行:

<welcome-file-list>

<welcome-file>index.html</welcome-file>

<welcome-file>index.jsp</welcome-file>

</welcome-file-list>

 

posted @ 2019-09-25 15:16  Joshua¥A¥  阅读(180)  评论(0编辑  收藏  举报