• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    tomcat服务器安全设置方法

    Tomcat是一个HTTP服务器,是Sun透过Java Community Process开发的、对广泛使用的Servlet和JavaServer Page(JSP)技术的正式参考实作。Servlet和JSP技术用于建构HTTP服务器应用程序。虽然Servlet技术中加入了许多特性(包括存取安全性、Session管理和执行绪控制)。JSP技术提供了一种处理动态生成的 HTML 页面的简便方法,这些 HTML 页面被直接编译成 Servlet 以用于快速执行时作业。Tomcat除了上述的两种技术保障安全之外,还可以通过配置Tomcat的参数以增加安全性

    安全设置:

    1. 删除webapps目录下的所有文件,禁用tomcat管理界面

    rm -rf /usr/local/tomcat/apache-tomcat-9.0.1/webapps/*

    2.注释或删除tomcat-users.xml文件内的所有用户权限:

    3.隐藏版本信息,修改conf/server.xml


    3.用户问题:

    nginx,httpd 使用root用户启动守护80端口,子进程/线程会通过setuid(),setgid()两个函数切换到普通用户。即父进程所有者是root用户,子进程与多线程所有者是一个非root用户,这个用户没有shell,无法通过ssh与控制台登陆系统;
    而Java 的JVM 是与系统无关的,是建立在OS之上的,使用什么用户启动Tomcat,那麽Tomcat 就会继承该所有者的权限。
    这造成了一个问题,Linux系统小于1024的端口只有root可以使用,这也是Tomcat默认端口是8080。如果想使用80端口只能使用root启动Tomcat。这有带来了很多安全问题。

    创建一个用户,只能用于启动tomcat:

    groupadd -g 80 tomcat
    adduser -o --home /tomcat --shell /sbin/nologin --uid 80 --gid 80 -c "Web server" tomcat
    chown tomcat:tomcat -R /usr/local/tomcat/apache-tomcat-9.0.1/*
    su - tomcat -c "/usr/local/tomcat/apache-tomcat-9.0.1/bin/startup.sh"

    做一个端口映射,访问80时调用8080端口

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

    取消跳转:

    iptables -t nat -D PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

    4.关闭自动部署war

    vim conf/server.xml

    5.隐藏404出现的版本信息:

    到lib下解压catalina.jar,   jar xf catalina.jar

    vim /usr/local/tomcat/apache-tomcat-9.0.1/lib/org/apache/catalina/util/ServerInfo.properties


    6.更改关闭tomcat指令

    server.xml中定义了可以直接关闭 Tomcat 实例的管理端口。我们通过 telnet 连接上该端口之后,输入 SHUTDOWN (此为默认关闭指令)即可关闭 Tomcat 实例(注意,此时虽然实例关闭了,但是进程还是存在的)。由于默认关闭Tomcat 的端口和指令都很简单。默认端口为8005,指令为SHUTDOWN 。需要将关闭指令修改复杂一点。


    或者禁用8005端口

     <Server port="-1" shutdown="SHUTDOWN">

    7.分离tomcat和项目用户

    为了防止 Tomcat 被植入 web shell 程序后,可以修改项目文件。因此我们要将 Tomcat 和项目的属主做分离,这样子,即便被搞,他也无法创建和编辑项目文件。

    8.在conf/web.xml  添加如下配置

    9.自定义错误页面

    web.xml是在某一个应用下面的,他处理的应当是本应用的404,而http://localhost/访问的是tomcat自已的应用,那么这个web.xml配置就应当在webapp/Root/下面的应用来配了,
    Root目录下面放着Tomcat的应用,把里面换成自已的就行了.
    在/webapps/ROOT/WEB-INF/web.xml添加

    在webapps目录下创建error.jsp文件

    <%@ page contentType="text/html; charset=UTF-8" %>
    <%@ page import="java.io.*" %>
    <%@ page import="java.util.*" %>
    <html>
    <header>
    <title>404 page</title>
    <body>
    <pre>
    <%
      Enumeration<String> attributeNames = request.getAttributeNames();
      while (attributeNames.hasMoreElements())
      {
        String attributeName = attributeNames.nextElement();
        Object attribute = request.getAttribute(attributeName);
      out.println("request.attribute['" + attributeName + "'] = " + attribute);
      }
    %>
    </pre>

    exception.jsp文件

    <%@ page contentType="text/html; charset=UTF-8" isErrorPage="true" %>
    <%@ page import="java.io.*" %>
    <html>
    <header>
    <title>exception page</title>
    <body>
    <hr/>
    <pre>
    <%
    response.getWriter().println("Exception: " + exception);
     
    if(exception != null)
    {
      response.getWriter().println("<pre>");
      exception.printStackTrace(response.getWriter());
      response.getWriter().println("</pre>");
    }
     
    respons
    e.getWriter().println("<hr/>");
    %>
    

    在浏览器测试自定义的错误页面:


    定义会话超时时间及禁止列目录

    好了这篇文章就介绍到这了,希望能帮助到你。

    上一篇:tomcat 安全规范(tomcat安全加固和规范)
    下一篇:CentOS 服务器安全配置策略
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    tomcat服务器安全设置方法 tomcat,服务器,安全,设置,