Tomcat管理后台整改建议

Tomcat管理后台整改建议

一、描述

默认安装Tomcat自带启用了管理后台功能，该后台可直接上传war对站点进行部署和管理，通常由于运维人员的疏忽，导致管理后台空口令或者弱口令的产生，使得黑客或者不法分子利用该漏洞直接上传WEBSHELL导致服务器沦陷。

   通常访问Tomcat后台管理地址为：http://iP:8080/manager/html/

 

二、整改建议

由于此类型漏洞对业务系统造成比较严重的危害，建议针对tomcat管理后台作如下整改：

方案一：若业务系统不使用tomcat管理后台发布业务代码：

1）直接将部署tomcat目录下webapps下的manager、host-manager文件夹全部删除；

2）注释Tomcat目录下conf下的tomcat-users.xml中的所有代码，如下：

 

方案二：若业务系统需要使用tomcat管理后台进行业务代码发布和管理，建议修改默认admin用户，且密码长度不低于10位，必须包含大写字母、特殊符号、数字组合，如下：