linuxtomcat安全设置,Tomcat安全加固方案（Linux）

一、 Tomcat版本安全

在不升级大版本的情况下&＃xff0c;升级到最新稳定版本。

1. Tomcat6.x&＃xff1a;该版本已经于2016年12月31日停止支持&＃xff0c;最新稳定版本为6.0.53&＃xff0c;下载地址&＃xff1a;https://archive.apache.org/dist/tomcat/tomcat-6/v6.0.53/bin/   由于该版本不再更新&＃xff0c;建议如果条件允许&＃xff0c;还是更新版本至Tomcat7.0.94&＃xff0c;Tomcat6漏洞列表页面&＃xff1a;http://tomcat.apache.org/security-6.html  。

二、 Tomcat服务降权

不使用root用户启动Tomcat&＃xff0c;使用普通用户启动(所有操作均在root用户下)。

1. 创建普通用户hcy-manager&＃xff0c;用户密码为Hcycom123$%^&＃xff0c;命令如下&＃xff1a;

groupadd -g 9916 hcy-manager

useradd -u 9916 -g hcy-manager -s /usr/sbin/nologin hcy-manager

2. 修改Tomcat目录文件用户权限&＃xff0c;命令如下&＃xff1a;

chown -R hcy-manager:hcy-manager apache-tomcat-6.0.53

chown -R hcy-manager:hcy-manager apache-tomcat-7.0.94

查看目录用户权限&＃xff0c;验证是否修改成功

1. 修改Tomcat目录文件读写运行权限&＃xff0c;命令如下&＃xff1a;

chmod -R 700 apache-tomcat-6.0.53

chmod -R 700 apache-tomcat-7.0.94

查看目录读写权限&＃xff0c;验证是否修改成

1. hcy-manager用户启动Tomcat(以Tomcat6为例&＃xff0c;Tomcat7操作相同)

修改bin目录下的startup.sh和shutdown.sh文件&＃xff0c;命令如下&＃xff1a;

mv startup.sh startup_.sh

mv shutdown.sh shutdown_.sh

在bin目录下新建startup.sh和shutdown.sh文件&＃xff0c;标黄部分自行替换&＃xff0c;文件内容如下&＃xff1a;

# startup.sh

#!/bin/bash

usermod -s /bin/bash hcy-manager

su - hcy-manager -c /opt/apache-tomcat-6.0.53/bin/startup_.sh

usermod -s /sbin/nologin hcy-manager

# startup.sh

#!/bin/bash

usermod -s /bin/bash hcy-manager

su - hcy-manager -c /opt/apache-tomcat-6.0.53/bin/shutdown_.sh

usermod -s /sbin/nologin hcy-manager

再次执行2、3步骤&＃xff0c;然后使用root用户执行startup.sh和shutdown.sh进行启动和停止

一、 Tomcat端口保护

Tomcat默认启动三个端口&＃xff0c;8080、8005、8009&＃xff0c;8080是默认访问端口&＃xff0c;8005是shutdown端口&＃xff0c;8009是AJP端口

1. 修改默认8080端口

修改server.xml文件

修改前&＃xff1a;

1. 关闭AJP的8009端口

修改server.xml文件

验证查看

重启Tomcat&＃xff0c;查看默认端口已消失&＃xff0c;只能查看到修改后的应用端口

禁用管理程序

1. 删除webapps目录下&＃xff0c;除开发应用外的其它目录&＃xff0c;包括&＃xff1a;docs、examples、host-manager、manager和ROOT&＃xff0c;执行命令&＃xff1a;

rm -rf docs  examples  host-manager  manager  ROOT

2. 删除conf目录下tomcat-users.xml文件,执行命令&＃xff1a;

rm -rf tomcat-users.xml

3. 清空Tomcat缓存work目录&＃xff0c;执行命令&＃xff1a;

rm -rf Catalina

4. 重启Tomcat验证

删除后是这样的&＃xff1a;

隐藏Tomcat版本信息查看当前版本信息&＃xff0c;执行Tomcat的bin目录下的version.sh&＃xff0c;结果如下&＃xff1a;

修改Tomcat版本信息&＃xff0c;拷贝Tomcat目录下的lib文件夹中的catalina.jar文件到本地&＃xff0c;使用压缩工具打开&＃xff0c;直接修改&＃xff0c;修改完成后直接保存至catalina.jar文件&＃xff0c;具体步骤如下图&＃xff1a;

保存修改 验证修改是否成功

关闭war包自动部署

默认 Tomcat 是开启了对war包的热部署的&＃xff0c;为了防止被植入木马等恶意程序&＃xff0c;因此我们要关闭自动部署。

1. 修改Tomcat下的conf文件夹下的server.xml文件

修改前为自动部署、自动解压war文件&＃xff1a;

禁止目录文件自动列出

直接修改Tomcat下的conf目录下的web.xml文件&＃xff0c;true为列出&＃xff0c;false为不列出&＃xff0c;请设置为false

多应用隔离

建议不要使用 Tomcat 的虚拟主机&＃xff0c;推荐每个站点使用一个实例。即&＃xff0c;可以启动多个 Tomcat&＃xff0c;而不是启动一个 Tomcat 里面包含多个虚拟主机。因为 Tomcat是多线程&＃xff0c;共享内存&＃xff0c;任何一个虚拟主机中的应用崩溃&＃xff0c;都会影响到所有应用程序。虽然采用多实例的方式会产生过多的开销&＃xff0c;但至少保障了应用程序的隔离和安全。

查看conf目录下的server.xml文件&＃xff0c;如果有多个Host标签对&＃xff0c;则表示有多个虚拟主机&＃xff0c;建议分开使用&＃xff0c;开启多个Tomcat。

脚本权限回收

直接修改Tomcat下的bin目录下的所有执行脚本&＃xff0c;执行命令&＃xff1a;

chmod -R 700 /opt/tomcat/bin/*

查看结果&＃xff0c;截图如下&＃xff1a;

更多