tomcat安全增强
来源:互联网 发布:java泛型方法 编辑:程序博客网 时间:2024/06/05 23:58
tomcat安全增强
1.禁用tomcat后台业务管理功能
默认安装tomcat自带启用了管理后台功能,能直接上传war对站点进行部署和管理,容易导致管理后台空口令或者弱口令的产生,黑客能利用该漏洞直接上传webshell导致服务器沦陷。
通常访问tomcat后台管理地址为http://ip:8080/manager/html/。
a)如果项目不需要使用tomcat管理后台管理业务代码,建议直接将部署tomcat目录下webapps下的manager, host-manager文件夹全部删除。
b)如果项目需要要用tomcat管理后管理业务代码,则建议加强管理后台配置账号的复杂度:取消默认admin用户更改用户名,设置复杂密码,长度超过12。
账号配置文件:conf/tomcat-users.xml
2.删除tomcat文档和示例程序
如果没有特殊需求,建议删除webapps目录下的docs, examples, manager, ROOT, host-manager目录。
3.开启Tomcat的访问日志
修改配置文件打开访问日志:conf/server.xml,重启tomcat:
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>
4.tomcat默认帐号安全
修改conf/tomcat-user.xml,重新设置复杂口令后并保存文件,重启tomcat:
<!--<role rolename="tomcat"/>
<role rolename="role1"/>
<user username="tomcat" password="tomcat" roles="tomcat"/>
<user username="both" password="tomcat" roles="tomcat,role1"/>
<user username="role1" password="tomcat" roles="role1"/>
-->
5.修改默认访问端口
conf/server.xml。
web访问端口不要使用80或8080大家熟知的端口,改成任意端口。
6.禁止列出目录
防止直接访问目录时由于找不到默认页面而列出目录下的文件。
打开web.xml,将<param-name>listings</param-name> 改成 <param-name>false</param-name>7.重定向错误页面或隐藏tomcat版本号
当404或者500页面错误时,tomcat会返回相应版本号,为安全起见,可重定向错误页面,或隐藏或修改其版本号。
a)直接修改配置,错误400或505,隐藏tomcat版本号:
cd $TOMCAT_HOME/lib
mkdir -p org/apache/catalina/util
cd org/apache/catalina/util
vim ServerInfo.properties
server.info=Apache Tomcat ---如果想修改成其它版本号,也修改这里
也可以错误重定向
b)重定向错误页面
修改conf/web.xml
文件末尾</web-app>的前一行,增加内容:<error-page>
<error-code>404</error-code><location>/error.jsp</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/error.jsp</location>
</error-page>
- tomcat安全增强
- tomcat 安全
- tomcat安全
- SElinux:安全增强linux详解
- 安全增强 Linux (SELinux) 剖析
- GibHub Windows 增强密码安全
- 安全增强 Linux (SELinux) 剖析
- Tomcat从零开始(十六)-----tomcat安全
- XML 安全组件:增强电子商务的安全性
- 架设SSL网站,增强网络通信安全!
- 架设SSL网站,增强网络通信安全!
- 毕业设计:linux入侵检测安全增强实现
- 微软要增强SQL 2005安全功能
- 安全增强 Linux(SELinux)剖析
- OWASP 10要素增强Web应用程序安全
- SELinux实例:使用安全增强的Linux
- MD5加密随机增强保护隐私安全
- 快速增强路由器安全的十个技巧
- 决策树ID3算法的python实现
- Unity3D-Android直接使用系统自带邮件发送反馈
- 快速定位死循环位置
- ionic3小知识(持续更新...)
- SSM整合配置文件(Springmvc+Spring+Mybatis)
- tomcat安全增强
- Javaweb 向Mysql数据库存取二进制文件
- Android设计模式之工厂模式
- 莫比乌斯算法浅析
- 解决树莓派登录的问题
- 传递集合数据
- BufferedWrite和BufferedRead的用法。
- JSON.parse()和JSON.stringify()
- spring事务总结