Apache tomcat是JAVA開發,JSP運作首選的web環境,國内很多網站,以及平台
都在使用tomcat 環境來運作網站,高效,穩定,安全,赢得了國内許多客戶。
tomcat 該如何安全設定與部署呢?
SINE安全教您一步一步把tomcat安全做到極緻。
現在tomcat最新版本是 Apache Tomcat 9.0,M21,
http://tomcat.apache.org/download-90.cgi 基于最新的版本下面進行安全配置。
如果以前用的是7.0 8.0 8.5老版本的tomcat環境,請盡快更新到9.0 M21版本,并修補
漏洞。首先打開 tomcat_home/webapps 檔案夾,預設存在 docs 和 examples 檔案夾,
這兩個檔案是文檔跟示例程式,其實沒有什麼用,建議直接删除。
1.Apache tomcat 加強運作賬戶的安全權限設定
Linux系統,建立一個tomcat使用者安全組,權限設定普通,指派于tomcat運作服務進
程。
windows 2003 2008系統的apache tomcat安全設定,控制台裡打開計算機管理,添
加一個使用者例如:tomcat使用者,設定普通使用者權限,然後在服務裡找到apache tomcat
9.0服務名稱,并右鍵屬性,設定登入身份,把剛才建立立的tomcat賬戶跟密碼寫上,并
确定,應用即可。Sine安全公司是一家專注于:伺服器安全、網站安全、網站安全檢測
、網站安全測試、于一體的安全服務提供商。
2. 禁止apache tomcat 網站列出目錄
tomcat預設的設定,是可以直接列目錄的,導緻黑客可以看到一些私密的檔案,建議修
改web.xml檔案,找到listings,然後修改listings為false,即可。這樣黑客就列不出
目錄了。
3. 檢查Tomcat的管理賬戶密碼
預設通過http://網站:8080/manager/html 可以直接通路管理頁面,如果不使用,
建議删除 tomcat_home/webapps/manager 和host-manager 檔案夾。
如果使用 tomcat manager,打開tomcat_home/conf/tomcat-users.xml,修改使用者
密碼,加強密碼的複雜程度,例如:
<role rolename="manager"/>
<user username="tomcat" password="複雜的密碼" roles="manager"/>
在 tomcat-users.xml 中為所有使用者設定數字大小寫字元16位以上的複雜密碼。
預設通過http://網站:8080/admin 也是可以通路tomcat admin的管理頁面,如果不使
用的話,建議直接删除tomcat_home/webapps/admin檔案夾。
4.開啟tomcat的安全日志功能,當被攻擊時可以檢視日志查找問題所在
安全日志存到 tomcat_home/logs 中,通路日志預設是開啟的,檢查下是否有這個檔案
夾。Sine安全公司是一家專注于:伺服器安全、網站安全、網站安全檢測、網站安全測
試、于一體的安全服務提供商。
5. 設定apache tomcat安全的字元串
防止黑客連接配接到伺服器的8005端口來發送linux指令 比如:shutdown指令來惡意停止
tomcat的運作服務。打開 tomcat_home/conf/server.xml檔案,設定一個複雜的賬号密
碼。
<Server port="8005" shutdown="複雜的密碼(設定數字大小寫字元16位以上的複雜密碼
)"> 防止黑客碰撞或者猜測密碼。
![Java String.format方法的簡單使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)