热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

linuxtomcat安全设置,Tomcat安全加固方案(Linux)

一、Tomcat版本安全在不升级大版本的情况下,升级到最新稳定版本。1.Tomcat6.x:该版本已经于2016年12月31日停止支持,最

一、 Tomcat版本安全

在不升级大版本的情况下,升级到最新稳定版本。

1. Tomcat6.x:该版本已经于2016年12月31日停止支持,最新稳定版本为6.0.53,下载地址:https://archive.apache.org/dist/tomcat/tomcat-6/v6.0.53/bin/   由于该版本不再更新,建议如果条件允许,还是更新版本至Tomcat7.0.94,Tomcat6漏洞列表页面:http://tomcat.apache.org/security-6.html  。

二、 Tomcat服务降权

不使用root用户启动Tomcat,使用普通用户启动(所有操作均在root用户下)。

1. 创建普通用户hcy-manager,用户密码为Hcycom123$%^,命令如下:

groupadd -g 9916 hcy-manager

useradd -u 9916 -g hcy-manager -s /usr/sbin/nologin hcy-manager

2. 修改Tomcat目录文件用户权限,命令如下:

chown -R hcy-manager:hcy-manager apache-tomcat-6.0.53

chown -R hcy-manager:hcy-manager apache-tomcat-7.0.94

查看目录用户权限,验证是否修改成功

796f8d3329e042e15b06fb81f9143410.png

1. 修改Tomcat目录文件读写运行权限,命令如下:

chmod -R 700 apache-tomcat-6.0.53

chmod -R 700 apache-tomcat-7.0.94

查看目录读写权限,验证是否修改成

29541f02bc6f38b809faac5979beafc7.png

1. hcy-manager用户启动Tomcat(以Tomcat6为例,Tomcat7操作相同)

修改bin目录下的startup.sh和shutdown.sh文件,命令如下:

mv startup.sh startup_.sh

mv shutdown.sh shutdown_.sh

在bin目录下新建startup.sh和shutdown.sh文件,标黄部分自行替换,文件内容如下:

# startup.sh

#!/bin/bash

usermod -s /bin/bash hcy-manager

su - hcy-manager -c /opt/apache-tomcat-6.0.53/bin/startup_.sh

usermod -s /sbin/nologin hcy-manager

# startup.sh

#!/bin/bash

usermod -s /bin/bash hcy-manager

su - hcy-manager -c /opt/apache-tomcat-6.0.53/bin/shutdown_.sh

usermod -s /sbin/nologin hcy-manager

再次执行2、3步骤,然后使用root用户执行startup.sh和shutdown.sh进行启动和停止

8f4b8aacca69eee84f61aabbc8f448de.gif

一、 Tomcat端口保护

Tomcat默认启动三个端口,8080、8005、8009,8080是默认访问端口,8005是shutdown端口,8009是AJP端口

1. 修改默认8080端口

修改server.xml文件

修改前:

eddf3e5fa6199b51c167958d963f3531.png

1. 关闭AJP的8009端口

修改server.xml文件

8a6ede790ad5c502f257e27514e5c8bc.png

验证查看

重启Tomcat,查看默认端口已消失,只能查看到修改后的应用端口

禁用管理程序

1. 删除webapps目录下,除开发应用外的其它目录,包括:docs、examples、host-manager、manager和ROOT,执行命令:

rm -rf docs  examples  host-manager  manager  ROOT

2. 删除conf目录下tomcat-users.xml文件,执行命令:

rm -rf tomcat-users.xml

3. 清空Tomcat缓存work目录,执行命令:

rm -rf Catalina

4. 重启Tomcat验证

feffe137057ecf6bdfaf3ff7d57761c0.png

删除后是这样的:

3559e5fd88bf13566a2197f1734e806a.png

隐藏Tomcat版本信息查看当前版本信息,执行Tomcat的bin目录下的version.sh,结果如下:

b0262aab2f27df0723c3afd7802ee539.png

修改Tomcat版本信息,拷贝Tomcat目录下的lib文件夹中的catalina.jar文件到本地,使用压缩工具打开,直接修改,修改完成后直接保存至catalina.jar文件,具体步骤如下图:

5b3b2e5e4b01f2dfa3264e102180a180.png

保存修改 验证修改是否成功

关闭war包自动部署

默认 Tomcat 是开启了对war包的热部署的,为了防止被植入木马等恶意程序,因此我们要关闭自动部署。

1. 修改Tomcat下的conf文件夹下的server.xml文件

修改前为自动部署、自动解压war文件:

837e42c3bd46c3cb18adbf68c9feab6f.png

禁止目录文件自动列出

直接修改Tomcat下的conf目录下的web.xml文件,true为列出,false为不列出,请设置为false

4e495ad1d88fc588924778f591c5f3e6.png

多应用隔离

建议不要使用 Tomcat 的虚拟主机,推荐每个站点使用一个实例。即,可以启动多个 Tomcat,而不是启动一个 Tomcat 里面包含多个虚拟主机。因为 Tomcat是多线程,共享内存,任何一个虚拟主机中的应用崩溃,都会影响到所有应用程序。虽然采用多实例的方式会产生过多的开销,但至少保障了应用程序的隔离和安全。

查看conf目录下的server.xml文件,如果有多个Host标签对,则表示有多个虚拟主机,建议分开使用,开启多个Tomcat。

脚本权限回收

直接修改Tomcat下的bin目录下的所有执行脚本,执行命令:

chmod -R 700 /opt/tomcat/bin/*

查看结果,截图如下:

5e054847cfd8975ab19b88312cd23369.png

更多



推荐阅读
  • 采用IKE方式建立IPsec安全隧道
    一、【组网和实验环境】按如上的接口ip先作配置,再作ipsec的相关配置,配置文本见文章最后本文实验采用的交换机是H3C模拟器,下载地址如 ... [详细]
  • 本文详细介绍如何利用已搭建的LAMP(Linux、Apache、MySQL、PHP)环境,快速创建一个基于WordPress的内容管理系统(CMS)。WordPress是一款流行的开源博客平台,适用于个人或小型团队使用。 ... [详细]
  • Hadoop发行版本选择指南:技术解析与应用实践
    本文详细介绍了Hadoop的不同发行版本及其特点,帮助读者根据实际需求选择最合适的Hadoop版本。内容涵盖Apache Hadoop、Cloudera CDH等主流版本的特性及应用场景。 ... [详细]
  • 本文深入探讨了HTTP请求和响应对象的使用,详细介绍了如何通过响应对象向客户端发送数据、处理中文乱码问题以及常见的HTTP状态码。此外,还涵盖了文件下载、请求重定向、请求转发等高级功能。 ... [详细]
  • PHP 过滤器详解
    本文深入探讨了 PHP 中的过滤器机制,包括常见的 $_SERVER 变量、filter_has_var() 函数、filter_id() 函数、filter_input() 函数及其数组形式、filter_list() 函数以及 filter_var() 和其数组形式。同时,详细介绍了各种过滤器的用途和用法。 ... [详细]
  • 本文介绍如何使用 Android 的 Canvas 和 View 组件创建一个简单的绘图板应用程序,支持触摸绘画和保存图片功能。 ... [详细]
  • 本文深入探讨了SQL数据库中常见的面试问题,包括如何获取自增字段的当前值、防止SQL注入的方法、游标的作用与使用、索引的形式及其优缺点,以及事务和存储过程的概念。通过详细的解答和示例,帮助读者更好地理解和应对这些技术问题。 ... [详细]
  • 深入解析Java虚拟机(JVM)架构与原理
    本文旨在为读者提供对Java虚拟机(JVM)的全面理解,涵盖其主要组成部分、工作原理及其在不同平台上的实现。通过详细探讨JVM的结构和内部机制,帮助开发者更好地掌握Java编程的核心技术。 ... [详细]
  • yikesnews第11期:微软Office两个0day和一个提权0day
    点击阅读原文可点击链接根据法国大选被黑客干扰,发送了带漏洞的文档Trumps_Attack_on_Syria_English.docx而此漏洞与ESET&FireEy ... [详细]
  • 本文探讨了如何在Classic ASP中实现与PHP的hash_hmac('SHA256', $message, pack('H*', $secret))函数等效的哈希生成方法。通过分析不同实现方式及其产生的差异,提供了一种使用Microsoft .NET Framework的解决方案。 ... [详细]
  • 百度安全应急响应中心(BSRC)与补天漏洞响应平台共同举办2021年暑期挑战赛,提供丰厚奖励、联名证书及更多惊喜。活动时间从7月12日至7月31日。 ... [详细]
  • SpringMVC RestTemplate的几种请求调用(转)
    SpringMVCRestTemplate的几种请求调用(转),Go语言社区,Golang程序员人脉社 ... [详细]
  • 本文探讨了如何利用HTML5和JavaScript在浏览器中进行本地文件的读取和写入操作,并介绍了获取本地文件路径的方法。HTML5提供了一系列API,使得这些操作变得更加简便和安全。 ... [详细]
  • 本文详细介绍了如何解压并安装MySQL集群压缩包,创建用户和组,初始化数据库,配置环境变量,并启动相关服务。此外,还提供了详细的命令行操作步骤和常见问题的解决方案。 ... [详细]
  • 深入解析SSL Strip攻击机制
    本文详细介绍了SSL Strip(一种网络攻击形式)的工作原理及其对网络安全的影响。通过分析SSL与HTTPS的基本概念,探讨了SSL Strip如何利用某些网站的安全配置不足,实现中间人攻击,以及如何防范此类攻击。 ... [详细]
author-avatar
爱做梦的蓝梦
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有