安全加強,Tomcat是重災區。是以整理下Tomcat的安全加強。
1. 更新到最新穩定版,這個是老生常談了。目前Tomcat支援6.0和7.0兩個版本。
1) 出于穩定性考慮,不建議進行跨版本更新,如果之前是6.0系列版本,最好還是使用該系列的最新版本。
2) 在統計目錄部署最新的Tomcat,将conf目錄下的檔案和webapp複制過來,之後修改server.xml,修改監聽端口進行測試,無誤後關閉Tomcat并改回端口。接下來就可以在釋出的時候停止舊的Tomcat并開啟新的Tomcat,至此更新完畢。
2. 從監聽端口上加強
1) 如果Tomcat不需要對外提供服務,則監聽在本地回環,前面放Nginx。如果需要對外提供通路,比如一個Nginx挂多個Tomcat,那麼在伺服器上用iptables隻允許負載均衡器的IP來通路
| maxHttpHeaderSize="8192" URIEncoding="UTF-8" maxThreads="500" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="10000" disableUploadTimeout="true" /> |
2) 現在我們一般不用Apache通過AJP協定來調用Tomcat了,是以AJP端口可以關閉。
3) 在新版的Tomcat中,SHUTDOWN端口預設就是監聽在127.0.0.1的,是以不需要修改。如果還想加強,那可以把SHUTDOWN換成其它的字元串。
| 1 |
3. 自定義錯誤頁面,隐藏Tomcat資訊
編輯conf/web.xml,在标簽上添加以下内容:
| 404 /404.html 500 /500.html |
4. 禁用Tomcat管理頁面
1) 删除webapps目錄下Tomcat原有的所有内容
2) 删除conf/Catalina/localhost/下的host-manager.xml和manager.xml這兩個檔案
5. 用普通使用者啟動Tomcat
| useradd -M -s /bin/false tomcat chown -R tomcat.tomcat /usr/local/src/apache-tomcat-6.0.37 su - tomcat -c "/usr/local/src/apache-tomcat-6.0.37/bin/catalina.sh start" |
![Apache靜态檔案通路配置(書封伺服器)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)