Tomcat 安全优化

Posted elin菻

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Tomcat 安全优化相关的知识,希望对你有一定的参考价值。

Tomcat 安全优化

============================================
1、telnet 管理端口保护(强制)
类别:telnet管理端口保护 
配置内容及说明  :
 【1】修改默认的8005管理端口(大于1024)
 【2】修改SHUTDOWN指令为其他字符串
标准配置:
<Server port="8527"
shudown="crushlinux">
备注:以上配置项的配置内容只是建议配置,可以按照服务实际情况进行合理配置,但要求端口配置在8000~8999之间。
2、ajp连接端口保护(推荐)
类别:ajp连接端口保护
配置内容及说明  :
 【1】修改默认的ajp 8009端口为不易冲突的大于1024端口;
 【2】通过iptables规则限制ajp端口访问的权限仅为线上机器
标准配置:
<Connector port="8528"
protocol="AJP/1.3" />
备注:以上配置项的配置内容仅为建议配置,请按照服务实际情况进行合理配置,但要求端口配置在8000~8999之间,保护此端口的目的在于防止线下的测试流量被mod_jk转发至线上tomcat服务器
主要是配置文件的伪装与修改
[root@localhost ~]# vim /usr/local/tomcat8/conf/server.xml
=============================================
3、禁用管理端(强制)
类别:禁用管理端
配置内容及说明  :
 【1】删除默认的{Tomcat 安装目录} /conf/tomcat-user.xml文件,重启tomcat后将会自动生成新的文件;
 【2】删除{Tomcat 安装目录}/webapps 下默认的所有目录和文件;
 【3】将tomcat应用根目录配置为tomcat安装目录以外的目录;
标准配置:
<Context path="" docBase="/web/webapps" debug="0" reloadable="false" crossContext="true"/>
备注:对于前端web模块,tomcat管理端属于tomcat的高危安全隐患,一旦被攻破,黑客通过上传web shell 的方式将会直接取得服务器的控制权,后果极其严重。
4、降权启动(强制)
类别:降权启动
配置内容及说明  :
 【1】tomcat启动用户权限必须为非root权限,尽量降低tomcat启动用户的目录访问权限
 【2】如需直接对外使用80端口,可通过普通账号启动后,配置iptables规则进行转发
标准配置:
[root@localhost ~]# useradd tomcat
[root@localhost ~]# cp -a /usr/local/tomcat8/ /home/tomcat/tomcat8_1
[root@localhost ~]# chown -R tomcat:tomcat /home/tomcat/tomcat8_1/
[root@localhost ~]# su -c ‘/home/tomcat/tomcat8_1/bin/startup.sh‘ tomcat   //-c 指定命令操作 降权启动
[root@localhost ~]# ps aux |grep java
备注:避免一旦tomcat服务被入侵,黑客直接获取高级用户权限危害整个server的安全
5、文件列表访问控制(强制)
类别:文件列表 访问控制
配置内容及说明:
 【1】conf/web.xml 文件中default部分listings的配置必须为false
标准配置:
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
备注:false为不列出目录文件,true为允许列出,默认为false
[root@localhost ~]# vim /usr/local/tomcat8/conf/web.xml
 110         <init-param>
 111             <param-name>listings</param-name>
 112             <param-value>false</param-value>
 113         </init-param>
默认的 保存退出
====================================================
6、版本信息隐藏(强制)
类别:版本信息隐藏
配置内容及说明:
 【1】修改conf/web.xml,重定向403、404以及500等错误到指定的错误页面
 【2】也可以通过修改应用程序目录下的WEB-INF/web.xml下的配置进行错误页面的重定向
标准配置:
<error-page>
<error-code>403</error-code>
<location>/forbidden.jsp</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/notfound.jsp</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/systembusy.jsp</location>
</error-page>
备注:在配置文件中对一些常见的错误进行重定向,避免当出现错误时tomcat默认显示的错误页面暴露服务器和版本信息,必须确保程序根目录下的错误页面已经存在。
7、server header 重写(推荐)
类别:server header 重写
配置内容及说明:在HTTP Connector配置中加入server的配置
标准配置:serve="webserver"
备注:当tomcat HTTP 端口直接提供web服务时此配置生效,加入此配置,将会替换http响应Server header 部分的默认配置,默认是Apache-Coyote/1.1
8、访问限制(可选
类别:访问限制
配置内容及说明:通过配置,限定访问的ip来源
标准配置:
<Conntext path="" docBase="/web/webapps" debug="0" reloadable="false" crossContext="true">
<Value className="org.apache.catalina.values.RemoteAddrValue"
allow="61.148.18.138,61.135.165.*" deny="*.*.*.*"/>
</Context>
备注:通过配置信任ip的白名单,拒绝非白名单ip的访问,此配置主要是针对高保密级别的系统,一般产品线不需要
9、起停脚本权限回收(推荐)
类别:起停脚本权限回收
配置内容及说明:去除其他用户对tomcat的bin目录下shutdown.sh、startup.sh、catalina.sh的可执行权限
标准配置:chmod -R 744 tomcat/bin/*
备注:防止其他用户有起停线上Tomcat的权限
10、访问日志格式规范(推荐
类别:访问日志格式规范
配置内容及说明:开启tomcat默认访问日志中的Referer和User-Agent记录
标准配置或操作:
<Value
className="org.apache.cataline.values.AccessLogValue"
directory="logs"
prefix="localhost_access_log."
suffix=".txt"
pattern="%h %I %u %t %r %s %b %{Referer}i
%{UserAgebt}i %D" resolveHosts="false"/>
备注:开启Referer 和User-Agent是为了一旦出现安全问题能够更好的根据日志进行问题排查
11、禁止列出目录
[root@localhost ~]# vim /usr/local/tomcat8/conf/web.xml
 110         <init-param>
 111             <param-name>listings</param-name>
 112             <param-value>false</param-value>
 113         </init-param>
12、页面超时
[root@localhost ~]# vim /usr/local/tomcat8/conf/web.xml
581   <session-config>
582   <session-timeout>30</session-timeout>
583   </session-config>
13、默认页面
[root@localhost ~]# vim /usr/local/tomcat8/conf/web.xml
4715     <welcome-file-list>
4716         <welcome-file>index.html</welcome-     file>
4717         <welcome-file>index.htm</welcome-f     ile>
4718         <welcome-file>index.jsp</welcome-f     ile>
4719     </welcome-file-list>
14、配置网页传输压缩
[root@localhost ~]# vim /usr/local/tomcat8/conf/server.xml
 69     <Connector port="8080" protocol="org.ap    ache.coyote.http11.Http11AprProtocol"
 70                connectionTimeout="20000"
 71                redirectPort="8443"
 72                compression="on"   #开启压缩
73                 compressionMinSize="50"  #指定最小的压缩文件,单位是字节
74                 noCompressionUserAgents="go    zilla,Traviata"  #此浏览器类型不进行压缩
75                 compressionMineType="text/h    tml,text/xml,text/javascript,text/css,text/    plain"/>  #文件格式
保存退出
[root@localhost ~]# /usr/local/tomcat8/bin/shutdown.sh
[root@localhost ~]# /usr/local/tomcat8/bin/startup.sh
完成!!!!!!!!!!!!!!!!!!!!!!
 
 
 
 

以上是关于Tomcat 安全优化的主要内容,如果未能解决你的问题,请参考以下文章

tomcat安全优化

Tomcat多实例集群架构 安全优化和性能优化

Linux下jvm与tomcat的安全与优化

Tomcat安全设置与优化详解(非原创)

tomcat安全优化

浅谈tomcat优化(内存,并发,缓存,安全,网络,系统等)