tomcat 安全规范(tomcat安全加固和规范)
tomcat是一个开源web服务器,基于tomcat的web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。以下是一些安全加固的方法:
版本安全
升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级。
服务降权
不要使用root用户启动tomcat,使用用普通用户启动tomcat,集群内用户名统一uid
端口保护
1 更改tomcat管理端口8005 ,此端口有权限关闭tomcat服务,但要求端口配置在8000~8999之间,并更改shutdown执行的命令
2 若 tomcat 都是放在内网的,则针对 tomcat 服务的监听地址都是内网地址
3 修改默认的ajp 8009端口为不易冲突(大于1024),但要求端口配置在8000~8999之间
禁用管理端
1 删除默认$catalina_home/conf/tomcat-users.xml文件,重启tomcat将会自动生成新的文件
2 删除$catalina_home/webapps下载默认的所有目录和文件
3 将tomcat应用根目录配置为tomcat安装目录以外的目录
隐藏tomcat的版本信息
针对该信息的显示是由一个jar包控制的,该jar包存放在$catalina_home/lib目录下,名称为 catalina.jar,
通过 jar xf 命令解压这个 jar 包会得到两个目录 meta-inf 和 org ,
修改 org/apache/catalina/util/serverinfo.properties 文件中的 serverinfo 字段来实现来更改我们tomcat的版本信息
关闭war自动部署
默认 tomcat 是开启了对war包的热部署的。为了防止被植入木马等恶意程序,因此我们要关闭自动部署。
修改实例:
<host name="localhost" appbase=""
unpackwars="false" autodeploy="false">
自定义错误页面
编辑conf/web.xml,在</web-app>标签上添加以下内容:
<error-page> <error-code>404</error-code> <location>/404.html</location> </error-page> <error-page> <error-code>500</error-code> <location>/500.html</location> </error-page>
屏蔽目录文件自动列出
编辑conf/web.xml文件
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.defaultservlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<param-value>false</param-value>
这里false为不列出,true为充许列出
多虚拟主机
强烈建议不要使用 tomcat 的虚拟主机,推荐每个站点使用一个实例。即,可以启动多个 tomcat,而不是启动一个 tomcat 里面包含多个虚拟主机。
因为 tomcat是多线程,共享内存,任何一个虚拟主机中的应用崩溃,都会影响到所有应用程序。虽然采用多实例的方式会产生过多的开销,但至少保障了应用程序的隔离和安全。
脚本权限回收
控制catalinahome/bin目录下的start.sh、catalina.sh、shutdown.sh的可执行权限
chmod−r744 catalina_home/bin/*
分离 tomcat 和项目的用户
为了防止 tomcat 被植入 web shell 程序后,可以修改项目文件。因此我们要将 tomcat 和项目的属主做分离,这样子,即便被搞,他也无法创建和编辑项目文件。
server head重写
在http connector配置中加入server的配置 server="server_name",默认是apache-copyote/1.1
通过配置,限定访问的ip来源
<host name="localhost" appbase="/data/www/tomcat_webapps" unpackwars="true" autodeploy="false">
<valve classname="org.apache.catalina.valves.remoteaddrvalve" allow="192.168.1.10,192.168.1.30,192.168.2.*" deny=""/>
<valve classname="org.apache.catalina.valves.remotehostvalve" allow="" deny=""/>
</host>
访问日志格式规范
开启tomcat默认访问日志中referer和user-agent记录
标准配置:
<valve classname="org.apache.catalina.valves.accesslogvalve"
directory="logs" prefix="localhost_access_log"
suffix=".txt" pattern="%h %l %u %t "%r" %s %b %{referer}i %{user-agent}i %d"
resolvehosts="false" />
tomcat禁用非法http方法
编辑web.xml文件中配置
org.apache.catalina.servlets.defaultservlet的 <init-param> <param-name>readonly</param-name> <param-value>true</param-value> </init-param>
其中param-value为true时,即不允许delete和put操作。
tomcat用户具有远程管理权限
在tomcat-users.xml中,修改tomcat用户的role值包含manager,如:
<user username="tomcat" password="***"
roles="manager">
tomcat自动登出时间不大于30秒
编辑server.xml,修改自动登出时间为30秒,如下:
<connector port="8080" maxhttpheadersize="8192" maxthreads="150" minsparethreads="25" maxsparethreads="75"、 enablelookups="false" redirectport="8443" acceptcount="100" connectiontimeout="30000" disableuploadtimeout="true" />
tomcat应根据机器性能和业务需求,设置最小连接数和最大连接数
编辑server.xml文件,
样例如下: <connector port="8080" minsparethreads="25" ……/>
minsparethreads=“25” 表示即使没有人使用也开这么多空线程等待
根据实际情况设置连接数
编辑server.xml文件,
样例如下: <connector port="8080" maxthreads="150"……/>
maxthreads=“150” 表示最多同时处理150个连接
根据实际情况配置连接数
tomcat配置访问日志
修改server.xml,将如下内容的注释标记取消:
<valve classname=”org.apache.catalina.valves.accesslogvalve” directory=”logs” prefix=”localhost_access_log.” suffix=”.txt” pattern=”common” reslovehosts=”false”/>
配置tomcat错误页面重定向
编辑web.xml文件,修改如下:
<error-page> <error-code>404</error-code> <location>/nofile.htm</location> </error-page> …………… <error-page> <exception-type>java.lang.nullpointerexception</exception-type> <location>/ error.jsp</location> </error-page>
这篇文章就介绍到这了,后续小编会为大家分享更多的知识。