中间件安全之Tomcat安全加固

  • A+
所属分类:安全博客
摘要

tomcat安全加固 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统被普遍使用,Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上是作为一个与Apache 一样独立的进程单独运行。Tomcat和IIS等Web服务器一样,具有处理HTML页面的功能,另外它还是一个Servlet和JSP容器。

tomcat安全加固

Tomcat介绍

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统被普遍使用,Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上是作为一个与Apache 一样独立的进程单独运行。Tomcat和IIS等Web服务器一样,具有处理HTML页面的功能,另外它还是一个Servlet和JSP容器。

中间件安全之Tomcat安全加固

Tomcat安全加固

1、Tomcat控制台

一般无特殊需要可以直接删除webapps文件夹默认自带文件夹及其文件,若业务系统需要使用tomcat管理后台进行业务代码发布和管理需要进行如下配置。

修改tomcat/conf/tomcat-user.xml配置文件

修改默认admin用户,且密码长度不低于10位,必须包含大写字母、特殊符号、数字组合(切记勿用弱密码,以下密码仅作演示)如下:

<role rolename="admin-gui"/>    <role rolename="manager-gui"/>   <user username="admin" password="[email protected]#123" roles=" admin-gui , manager-gui "/> 

中间件安全之Tomcat安全加固

2、自定义错误页面

报错信息可能会造成信息泄露,不容忽视

1创建对应的html

2编辑tomcat/conf/web.xml文件中下列代码:

<error-page>   <error-code>404</error-code>   <location>/404.html</location>   </error-page>   <error-page>   <error-code>403</error-code>   <location>/403.html</location>   </error-page>   <error-page>   <error-code>500</error-code>   <location>/500.html</location>   </error-page> 

3、日志记录

编辑tomcat/conf/server.xml配置文件

检查日志记录是否开启(7/8这些较高版本都已经默认开启,低版本自行查看)

4、目录浏览

编辑tomcat/conf/web.xml配置文件

检查目录浏览是否关闭(都是默认关闭自行查看)

中间件安全之Tomcat安全加固

<init-param>           <param-name>listings</param-name>           <param-value>true</param-value>       </init-param> 

需要把true改成false

5、版本更新

时刻关注tomcat更新是否存在漏洞,如果存在漏洞请在https://tomcat.apache.org/下载最新稳定版安装

比如最近才爆出的 Tomcat Ajp协议文件包含漏洞

来源:http://www.safe6.cn/

本文由 safe6 创作,著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

中间件安全之Tomcat安全加固

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!! 最后编辑时间为: 2020-04-11

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: