tomcat安全优化
1.telnet管理端保护(强制)
修改主配置文件
vim /usr/local/tomcat8/conf/server.xml
将8005端口进行伪装,更改配置在8000~8999之间进行伪装,关键字进行修改:shutdown=“”
2.ajp连接端口保护
将8009端口进行伪装,更改配置在8000~8999之间进行伪装
3.禁用管理端(强制)
a.删除默认的{tomcat安装目录}/conf/tomcat-users.xml文件,重启tomcat后将会自动生成新的文件
rm -rf /usr/local/tomcat/conf/tomcat-users.xml
/usr/local/tomcat/bin/shutdown.sh && /usr/local/tomcat/bin/startup.sh
b.删除{tomcat安装目录}/webapps下默认的所有目录和文件
rm -rf /usr/local/tomcat/webapps/
c.将tomcat应用根目录配置为tomcat安装目录以外的目录
4.降权启动
a.tomcat 启动用户权限必须为非root权限,尽量降低tomcat启动用户的目录访问权限
b.如果直接对外使用80端口,可通过普通账号启动后,配置iptables规则进行转发
创建tomcat用户
useradd tomcat
将文件进行拷贝
cp -a /usr/local/tomcat8 /home/tomcat/tomcat8_1/
更改目录的用户和组
chown -R tomcat.tomcat /home/tomcat/tomcat8_1/
切换用户启动服务(降权启动)
su -c ' /home/tomcat/tomcat8_1/bin/startup.sh'tomcat
查看用户权限
ps -ef|grep java
5.文件列表的访问控制(强制)
/conf/web.xml文件中的default部分的listings配置必须改为fales
vim /usr/local/tomcat8/conf/web.xml
6.版本信息的隐藏(强制)
修改/conf/web.xml文件中重定向403、404、500等错误到指定的错误页面
例:<error-pages>
<error-code>403</error-code>
<location>/forbidden.jsp</location>
7.启停脚本权限回收
chmod -R 744 tomcat/bin/*
8.禁止列出目录
vim /usr/local/tomcat8/conf/web.xml
110行:
<init-param>
<param-name>listings</param-name>
<param-value>flase</param-value>
</init-param>
9.页面超时
vim /usr/local/tomcat8/conf/web.xml
581行:
<session-config>
<session-timeout>30</session-timeout>
</session-config>
10.默认界面
vim /usr/local/tomcat8/conf/web.xml
4679行:
<welcome-file-list>
<welcome-file>index.html</welcome-file>
<welcome-file>index.jsp</welcome-file>
</welcome-file-list>