Apache tomcat是JAVA开发,JSP运行首选的web环境,国内很多网站,以及平台
都在使用tomcat 环境来运行网站,高效,稳定,安全,赢得了国内许多客户。
都在使用tomcat 环境来运行网站,高效,稳定,安全,赢得了国内许多客户。
tomcat 该如何安全设置与部署呢?
SINE安全教您一步一步把tomcat安全做到极致。
现在tomcat最新版本是 Apache Tomcat 9.0,M21,
http://tomcat.apache.org/download-90.cgi 基于最新的版本下面进行安全配置。
如果以前用的是7.0 8.0 8.5老版本的tomcat环境,请尽快升级到9.0 M21版本,并修补
漏洞。首先打开 tomcat_home/webapps 文件夹,默认存在 docs 和 examples 文件夹,
这两个文件是文档跟示例程序,其实没有什么用,建议直接删除。
1.Apache tomcat 加强运行账户的安全权限设置
Linux系统,创建一个tomcat用户安全组,权限设置普通,赋值于tomcat运行服务进
程。
windows 2003 2008系统的apache tomcat安全设置,控制面板里打开计算机管理,添
加一个用户例如:tomcat用户,设置普通用户权限,然后在服务里找到apache tomcat
9.0服务名称,并右键属性,设置登录身份,把刚才新建立的tomcat账户跟密码写上,并
确定,应用即可。Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测
、网站安全测试、于一体的安全服务提供商。
2. 禁止apache tomcat 网站列出目录
tomcat默认的设置,是可以直接列目录的,导致黑客可以看到一些私密的文件,建议修
改web.xml文件,找到listings,然后修改listings为false,即可。这样黑客就列不出
目录了。
3. 检查Tomcat的管理账户密码
默认通过http://网站:8080/manager/html 可以直接访问管理页面,如果不使用,
建议删除 tomcat_home/webapps/manager 和host-manager 文件夹。
如果使用 tomcat manager,打开tomcat_home/conf/tomcat-users.xml,修改用户
密码,加强密码的复杂程度,例如:
<role rolename="manager"/>
<user username="tomcat" password="复杂的密码" roles="manager"/>
在 tomcat-users.xml 中为所有用户设置数字大小写字符16位以上的复杂密码。
默认通过http://网站:8080/admin 也是可以访问tomcat admin的管理页面,如果不使
用的话,建议直接删除tomcat_home/webapps/admin文件夹。
4.开启tomcat的安全日志功能,当被攻击时可以查看日志查找问题所在
安全日志存到 tomcat_home/logs 中,访问日志默认是开启的,检查下是否有这个文件
夹。Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测、网站安全测
试、于一体的安全服务提供商。
5. 设置apache tomcat安全的字符串
防止黑客连接到服务器的8005端口来发送linux指令 比如:shutdown指令来恶意停止
tomcat的运行服务。打开 tomcat_home/conf/server.xml文件,设置一个复杂的账号密
码。
<Server port="8005" shutdown="复杂的密码(设置数字大小写字符16位以上的复杂密码
)"> 防止黑客碰撞或者猜测密码。