热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

linuxtomcat安全设置,Tomcat安全加固方案(Linux)

一、Tomcat版本安全在不升级大版本的情况下,升级到最新稳定版本。1.Tomcat6.x:该版本已经于2016年12月31日停止支持,最

一、 Tomcat版本安全

在不升级大版本的情况下,升级到最新稳定版本。

1. Tomcat6.x:该版本已经于2016年12月31日停止支持,最新稳定版本为6.0.53,下载地址:https://archive.apache.org/dist/tomcat/tomcat-6/v6.0.53/bin/   由于该版本不再更新,建议如果条件允许,还是更新版本至Tomcat7.0.94,Tomcat6漏洞列表页面:http://tomcat.apache.org/security-6.html  。

二、 Tomcat服务降权

不使用root用户启动Tomcat,使用普通用户启动(所有操作均在root用户下)。

1. 创建普通用户hcy-manager,用户密码为Hcycom123$%^,命令如下:

groupadd -g 9916 hcy-manager

useradd -u 9916 -g hcy-manager -s /usr/sbin/nologin hcy-manager

2. 修改Tomcat目录文件用户权限,命令如下:

chown -R hcy-manager:hcy-manager apache-tomcat-6.0.53

chown -R hcy-manager:hcy-manager apache-tomcat-7.0.94

查看目录用户权限,验证是否修改成功

796f8d3329e042e15b06fb81f9143410.png

1. 修改Tomcat目录文件读写运行权限,命令如下:

chmod -R 700 apache-tomcat-6.0.53

chmod -R 700 apache-tomcat-7.0.94

查看目录读写权限,验证是否修改成

29541f02bc6f38b809faac5979beafc7.png

1. hcy-manager用户启动Tomcat(以Tomcat6为例,Tomcat7操作相同)

修改bin目录下的startup.sh和shutdown.sh文件,命令如下:

mv startup.sh startup_.sh

mv shutdown.sh shutdown_.sh

在bin目录下新建startup.sh和shutdown.sh文件,标黄部分自行替换,文件内容如下:

# startup.sh

#!/bin/bash

usermod -s /bin/bash hcy-manager

su - hcy-manager -c /opt/apache-tomcat-6.0.53/bin/startup_.sh

usermod -s /sbin/nologin hcy-manager

# startup.sh

#!/bin/bash

usermod -s /bin/bash hcy-manager

su - hcy-manager -c /opt/apache-tomcat-6.0.53/bin/shutdown_.sh

usermod -s /sbin/nologin hcy-manager

再次执行2、3步骤,然后使用root用户执行startup.sh和shutdown.sh进行启动和停止

8f4b8aacca69eee84f61aabbc8f448de.gif

一、 Tomcat端口保护

Tomcat默认启动三个端口,8080、8005、8009,8080是默认访问端口,8005是shutdown端口,8009是AJP端口

1. 修改默认8080端口

修改server.xml文件

修改前:

eddf3e5fa6199b51c167958d963f3531.png

1. 关闭AJP的8009端口

修改server.xml文件

8a6ede790ad5c502f257e27514e5c8bc.png

验证查看

重启Tomcat,查看默认端口已消失,只能查看到修改后的应用端口

禁用管理程序

1. 删除webapps目录下,除开发应用外的其它目录,包括:docs、examples、host-manager、manager和ROOT,执行命令:

rm -rf docs  examples  host-manager  manager  ROOT

2. 删除conf目录下tomcat-users.xml文件,执行命令:

rm -rf tomcat-users.xml

3. 清空Tomcat缓存work目录,执行命令:

rm -rf Catalina

4. 重启Tomcat验证

feffe137057ecf6bdfaf3ff7d57761c0.png

删除后是这样的:

3559e5fd88bf13566a2197f1734e806a.png

隐藏Tomcat版本信息查看当前版本信息,执行Tomcat的bin目录下的version.sh,结果如下:

b0262aab2f27df0723c3afd7802ee539.png

修改Tomcat版本信息,拷贝Tomcat目录下的lib文件夹中的catalina.jar文件到本地,使用压缩工具打开,直接修改,修改完成后直接保存至catalina.jar文件,具体步骤如下图:

5b3b2e5e4b01f2dfa3264e102180a180.png

保存修改 验证修改是否成功

关闭war包自动部署

默认 Tomcat 是开启了对war包的热部署的,为了防止被植入木马等恶意程序,因此我们要关闭自动部署。

1. 修改Tomcat下的conf文件夹下的server.xml文件

修改前为自动部署、自动解压war文件:

837e42c3bd46c3cb18adbf68c9feab6f.png

禁止目录文件自动列出

直接修改Tomcat下的conf目录下的web.xml文件,true为列出,false为不列出,请设置为false

4e495ad1d88fc588924778f591c5f3e6.png

多应用隔离

建议不要使用 Tomcat 的虚拟主机,推荐每个站点使用一个实例。即,可以启动多个 Tomcat,而不是启动一个 Tomcat 里面包含多个虚拟主机。因为 Tomcat是多线程,共享内存,任何一个虚拟主机中的应用崩溃,都会影响到所有应用程序。虽然采用多实例的方式会产生过多的开销,但至少保障了应用程序的隔离和安全。

查看conf目录下的server.xml文件,如果有多个Host标签对,则表示有多个虚拟主机,建议分开使用,开启多个Tomcat。

脚本权限回收

直接修改Tomcat下的bin目录下的所有执行脚本,执行命令:

chmod -R 700 /opt/tomcat/bin/*

查看结果,截图如下:

5e054847cfd8975ab19b88312cd23369.png

更多



推荐阅读
  • 本文深入探讨了HTTP请求和响应对象的使用,详细介绍了如何通过响应对象向客户端发送数据、处理中文乱码问题以及常见的HTTP状态码。此外,还涵盖了文件下载、请求重定向、请求转发等高级功能。 ... [详细]
  • 本文详细介绍了如何在Linux系统上安装和配置Smokeping,以实现对网络链路质量的实时监控。通过详细的步骤和必要的依赖包安装,确保用户能够顺利完成部署并优化其网络性能监控。 ... [详细]
  • 深入理解Cookie与Session会话管理
    本文详细介绍了如何通过HTTP响应和请求处理浏览器的Cookie信息,以及如何创建、设置和管理Cookie。同时探讨了会话跟踪技术中的Session机制,解释其原理及应用场景。 ... [详细]
  • 本文详细介绍了 Dockerfile 的编写方法及其在网络配置中的应用,涵盖基础指令、镜像构建与发布流程,并深入探讨了 Docker 的默认网络、容器互联及自定义网络的实现。 ... [详细]
  • 如何配置Unturned服务器及其消息设置
    本文详细介绍了Unturned服务器的配置方法和消息设置技巧,帮助用户了解并优化服务器管理。同时,提供了关于云服务资源操作记录、远程登录设置以及文件传输的相关补充信息。 ... [详细]
  • DNN Community 和 Professional 版本的主要差异
    本文详细解析了 DotNetNuke (DNN) 的两种主要版本:Community 和 Professional。通过对比两者的功能和附加组件,帮助用户选择最适合其需求的版本。 ... [详细]
  • 尽管某些细分市场如WAN优化表现不佳,但全球运营商路由器和交换机市场持续增长。根据最新研究,该市场预计在2023年达到202亿美元的规模。 ... [详细]
  • 本文详细介绍了如何准备和安装 Eclipse 开发环境及其相关插件,包括 JDK、Tomcat、Struts 等组件的安装步骤及配置方法。 ... [详细]
  • 本文详细分析了JSP(JavaServer Pages)技术的主要优点和缺点,帮助开发者更好地理解其适用场景及潜在挑战。JSP作为一种服务器端技术,广泛应用于Web开发中。 ... [详细]
  • 网络攻防实战:从HTTP到HTTPS的演变
    本文通过一系列日记记录了从发现漏洞到逐步加强安全措施的过程,探讨了如何应对网络攻击并最终实现全面的安全防护。 ... [详细]
  • 本文详细分析了Hive在启动过程中遇到的权限拒绝错误,并提供了多种解决方案,包括调整文件权限、用户组设置以及环境变量配置等。 ... [详细]
  • 使用Vultr云服务器和Namesilo域名搭建个人网站
    本文详细介绍了如何通过Vultr云服务器和Namesilo域名搭建一个功能齐全的个人网站,包括购买、配置服务器以及绑定域名的具体步骤。文章还提供了详细的命令行操作指南,帮助读者顺利完成建站过程。 ... [详细]
  • 探讨如何真正掌握Java EE,包括所需技能、工具和实践经验。资深软件教学总监李刚分享了对毕业生简历中常见问题的看法,并提供了详尽的标准。 ... [详细]
  • 本文探讨了在Windows Server 2008环境下配置Tomcat使用80端口时遇到的问题,包括端口被占用、多项目访问失败等,并提供详细的解决方法和配置建议。 ... [详细]
  • PHP 时间与日期工具类:星座、干支、生肖的实现
    本文介绍了一个PHP时间与日期工具类,涵盖了时区设置、有效日期和时间检查、星座、干支、生肖计算等功能。该工具类特别适用于需要处理中国农历及西方星座的应用场景。 ... [详细]
author-avatar
爱做梦的蓝梦
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有