删除默认文件
删除TOMCAT默认示例文件、帮助文件、后台管理界面等,禁止使用manager/admin管理后台。需删除的文件和目录清单如下:
引用
$CATALINA_BASE/server/webapps/manager
$CATALINA_BASE/server/webapps/host-manager
$CATALINA_BASE/webapps/balancer
$CATALINA_BASE/webapps/manager
$CATALINA_BASE/webapps/host-manager
$CATALINA_BASE/webapps/webdav
$CATALINA_BASE/webapps/tomcat-docs
$CATALINA_BASE/webapps/jsp-examples
$CATALINA_BASE/webapps/servlets-examples
$CATALINA_BASE/webapps/examples
$CATALINA_BASE/webapps/docs
$CATALINA_BASE/conf/tomcat-users.xml
启动帐号
建立独立用户,用户名和组名均为tomcat,不设置密码(即禁止SSH登录),tomcat进程以此帐号身份运行,严禁以root权限运行tomcat,禁止以个人帐号或其他有shell权限的帐号运行tomcat。可选如下方法之一来实现非ROOT启动tomcat:
在$CATALINA_BASE/startenv.sh里面export环境变量:
export TOMCAT_USER=tomcat
同时需要修改$CATALINA_HOME/bin/startup.sh
把
exec "$PRGDIR"/"$EXECUTABLE" start "$@"
修改为:
if [ -z "$TOMCAT_USER" ]; then
exec "$PRGDIR"/"$EXECUTABLE" start "$@"
else
exec su $TOMCAT_USER -c "$PRGDIR/$EXECUTABLE start $@"
fi
在jsvc配置文件里面指定参数
引用
-u tomcat
禁止列目录
配置$CATALINA_BASE/conf/web.xml文件,防止直接访问目录时由于找不到默认主页而列出目录下所有文件。
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
打开access log
按小时或按天记录。prefix/fileDateFormat/pattern可自定义,但必须记录关键信息,例如:源IP,Host、时间、请求、状态码、数据大小、UA等。注意:如果前端是NG做反向代理,默认的pattern="combined"和pattern="common"不能记录用户的真实IP,必须自定义pattern,记录客户端真实IP(X-Real-IP)
引用
<Valve className="org.apache.catalina.valves.AccessLogValve"
directory="logs" prefix="xx" suffix=".log"
fileDateFormat="yyyy-MM-dd-HH"
pattern="%a %l %u %t "%r" %s %b "%{Referer}i" "%{User-Agent}i" " %{X-Real-IP}i"
resolveHosts="false"/>
禁止使用jmx
如之前已经启用,在启动脚本里面(catalina.sh或startenv.sh)删除CATALINA_OPTS变量里面jmxremote相关参数即可。
禁止使用AJP
配置$CATALINA_BASE/conf/server.xml文件,注释或删除如下部分。
注释前
引用
<Connector port="*" maxThreads="*"
enableLookups="false" redirectPort="*" protocol="AJP/**" />
目录权限
默认情况下,tomcat启动用户对WEB目录下所有文件及子目录应无写权限。标准配置:文件属主为root.root,权限为755。
日志文件及cache文件应放在WEB目录之外
上传目录禁止执行
如tomcat需支持上传功能,需要对WEB目录下某些目录有写权限,那么应该限制这些上传目录禁止执行脚本。
appdir路径有几种可能:
(1) 默认位置
appdir="$CATALINA_BASE/webapps/ROOT"
(2) 默认位置下指定了appname
appdir="$CATALINA_BASE/webapps/$appname"
(3)通过docBase参数指定的路径
appdir="$docBase"
这些是通过UrlRewriteFilter模块来限制的示例配置,如果WEB-INF及相关目录不存在,创建一个即可。
设置规则禁止上传目录执行jsp
可以使用
引用
<urlrewrite>
<rule>
<from>^[\./]*/upload/.*\.jsp$</from>
<to>/deny.html</to>
</rule>
</urlrewrite>
分享到:
相关推荐
本文档用来指导在CentOS 7 环境下,如何一步一步安装和配置JDK 1.8\Tomcat 8.5、Nginx2,并完成安全配置。 本文档适用于企业IT 人员操作,经过多次更新和验证,最后可以形成一个企业级的、完整、安全、Tomcat和Nginx...
Tomcat安全管理规范-线上运行配置规范-线上运行安全规范
网络安全越来越重要,将这些年来客户要求的安全配置整理了一下,其中包含各种安全配置和相关工具其中包含: 1. Tomcat 证书配置 2. 隐藏程序出错信息 3. 隐藏服务器信息 4. 关闭热部署功能 5. 关闭管理功能和默认主页 6...
Tomcat内存优化主要是对 tomcat 启动参数优化,我们可以在 tomcat 的启动脚本 catalina.sh 中设置 JAVA_OPTS参数
Tomcat 的安全方面设置 简单配置过程 说明 Tomcat 的安全方面设置 简单配置过程 说明 Tomcat 的安全方面设置 简单配置过程 说明 Tomcat 的安全方面设置 简单配置过程 说明
https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置
Tomcat 5.5 数据库连接池配置.doc tomcat 6.0.20在一个机器上安装多个服务的方法.doc tomcat 几种连接池配置代码.doc tomcat antiResourceLocking antiJARLocking 的作用和用法.doc Tomcat安全配置 .doc
下面小编就为大家分享一篇基于Tomcat安全配置与性能优化详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Tomcat系统安全配置基线.doc
启动内存参数的配置及含义 Tomcat的简单配置介绍 增加虚拟目录及相关文件说明 Tomcat多虚拟主机的配置方法 Tomcat集群配置(负载均衡、...Tomcat安全SSL的配置使用 Tomcat性能调优 Tomcat日志简介 安全配置 常见问题
Tomcat安全管理规范 线上运行配置规范 实用教程。 Tomcat安全管理规范-线上运行配置规范-线上运行安全规范 Tomcat 安全管理规范 线上配置规范
Tomcat安全部署配置手册_v1.0_150112.docx
1) Introduction tomcat总体简要介绍 2) Setup 介绍如何安装tomcat 3) First webapp 第一...7) Security Manager 介绍怎么配置和使用Security Manager(安全管理器) 8) JNDI Resources 介绍JNDI概念及如何定
Tomcat的配置 增加一个虚拟目录 配置JSP及Servlet 配置服务器的端口 web.xml文件的设置 web.xml文件中安全性的设置 tomcat-users.xml 设置 配置日志
Tomcat部署配置及安全优化1
1,WEB SERVER介绍 2,TOMCAT目录结构 3,TOMCAT端口管理 ...5,TOMCAT配置数据库 ...14,TOMCAT安全策略 15,TOMCAT的URL编码格式 16,TOMCAT传输压缩 17,TOMCAT集群和负载均衡 18,ECD部门AP(TOMCAT)部署规范
5.Windows平台下tomcat安全设置 7 6.Linux下Tomcat配置 8 6.1 所需的软件包 8 6.2 安装所需要软件 8 6.3 设置环境变量 9 6.4 编译生成mod_webapp.so 9 6.5 独立环境的测试 10 6.6 整合安装设置 10