中间件安全之Tomcat安全加固

/ 实用技巧 / 0 条评论 / 1792 浏览

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!!

Tomcat介绍

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统被普遍使用,Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上是作为一个与Apache 一样独立的进程单独运行。Tomcat和IIS等Web服务器一样,具有处理HTML页面的功能,另外它还是一个Servlet和JSP容器。

中间件安全之Tomcat 安全加固

Tomcat安全加固

1、Tomcat控制台

一般无特殊需要可以直接删除webapps文件夹默认自带文件夹及其文件,若业务系统需要使用tomcat管理后台进行业务代码发布和管理需要进行如下配置。

修改tomcat/conf/tomcat-user.xml配置文件

修改默认admin用户,且密码长度不低于10位,必须包含大写字母、特殊符号、数字组合(切记勿用弱密码,以下密码仅作演示)如下:

<role rolename="admin-gui"/>   
<role rolename="manager-gui"/>  
<user username="admin" password="Admin@#123" roles=" admin-gui , manager-gui "/>

中间件安全之Tomcat 安全加固

2、自定义错误页面

报错信息可能会造成信息泄露,不容忽视

1创建对应的html

2编辑tomcat/conf/web.xml文件中下列代码:

<error-page>  
<error-code>404</error-code>  
<location>/404.html</location>  
</error-page>  
<error-page>  
<error-code>403</error-code>  
<location>/403.html</location>  
</error-page>  
<error-page>  
<error-code>500</error-code>  
<location>/500.html</location>  
</error-page>

3、日志记录

编辑tomcat/conf/server.xml配置文件

检查日志记录是否开启(7/8这些较高版本都已经默认开启,低版本自行查看)

4、目录浏览

编辑tomcat/conf/web.xml配置文件

检查目录浏览是否关闭(都是默认关闭自行查看)

中间件安全之Tomcat 安全加固

<init-param>  
        <param-name>listings</param-name>  
        <param-value>true</param-value>  
    </init-param>

需要把true改成false

5、版本更新

时刻关注tomcat更新是否存在漏洞,如果存在漏洞请在https://tomcat.apache.org/下载最新稳定版安装

比如最近才爆出的 Tomcat Ajp协议文件包含漏洞

本文最后编辑时间为: 2020-04-11

如本文对你有帮助,点击下面广告支持一下吧,创作不易,感谢大佬。

safe6