tomcat服务器安全设置方法
Tomcat是一个HTTP服务器,是Sun透过JavaCommunityProcess开发的、对广泛使用的Servlet和JavaServerPage(JSP)技术的正式参考实作。Servlet和JSP技术用于建构HTTP服务器应用程序。虽然Servlet技术中加入了许多特性(包括存取安全性、Session管理和执行绪控制)。JSP技术提供了一种处理动态生成的HTML页面的简便方法,这些HTML页面被直接编译成Servlet以用于快速执行时作业。Tomcat除了上述的两种技术保障安全之外,还可以通过配置Tomcat的参数以增加安全性
安全设置:
1.删除webapps目录下的所有文件,禁用tomcat管理界面
rm-rf/usr/local/tomcat/apache-tomcat-9.0.1/webapps/*
2.注释或删除tomcat-users.xml文件内的所有用户权限:
3.隐藏版本信息,修改conf/server.xml
3.用户问题:
nginx,httpd使用root用户启动守护80端口,子进程/线程会通过setuid(),setgid()两个函数切换到普通用户。即父进程所有者是root用户,子进程与多线程所有者是一个非root用户,这个用户没有shell,无法通过ssh与控制台登陆系统;
而Java的JVM是与系统无关的,是建立在OS之上的,使用什么用户启动Tomcat,那麽Tomcat就会继承该所有者的权限。
这造成了一个问题,Linux系统小于1024的端口只有root可以使用,这也是Tomcat默认端口是8080。如果想使用80端口只能使用root启动Tomcat。这有带来了很多安全问题。
创建一个用户,只能用于启动tomcat:
groupadd-g80tomcat
adduser-o--home/tomcat--shell/sbin/nologin--uid80--gid80-c"Webserver"tomcat
chowntomcat:tomcat-R/usr/local/tomcat/apache-tomcat-9.0.1/*
su-tomcat-c"/usr/local/tomcat/apache-tomcat-9.0.1/bin/startup.sh"
做一个端口映射,访问80时调用8080端口
iptables-tnat-APREROUTING-ptcp--dport80-jREDIRECT--to-port8080
取消跳转:
iptables-tnat-DPREROUTING-ptcp--dport80-jREDIRECT--to-port8080
4.关闭自动部署war
vimconf/server.xml
5.隐藏404出现的版本信息:
到lib下解压catalina.jar, jarxfcatalina.jar
vim/usr/local/tomcat/apache-tomcat-9.0.1/lib/org/apache/catalina/util/ServerInfo.properties
6.更改关闭tomcat指令
server.xml中定义了可以直接关闭Tomcat实例的管理端口。我们通过telnet连接上该端口之后,输入SHUTDOWN(此为默认关闭指令)即可关闭Tomcat实例(注意,此时虽然实例关闭了,但是进程还是存在的)。由于默认关闭Tomcat的端口和指令都很简单。默认端口为8005,指令为SHUTDOWN。需要将关闭指令修改复杂一点。
或者禁用8005端口
7.分离tomcat和项目用户
为了防止Tomcat被植入webshell程序后,可以修改项目文件。因此我们要将Tomcat和项目的属主做分离,这样子,即便被搞,他也无法创建和编辑项目文件。
8.在conf/web.xml 添加如下配置
9.自定义错误页面
web.xml是在某一个应用下面的,他处理的应当是本应用的404,而http://localhost/访问的是tomcat自已的应用,那么这个web.xml配置就应当在webapp/Root/下面的应用来配了,
Root目录下面放着Tomcat的应用,把里面换成自已的就行了.
在/webapps/ROOT/WEB-INF/web.xml添加
在webapps目录下创建error.jsp文件
<%@pagecontentType="text/html;charset=UTF-8"%> <%@pageimport="java.io.*"%> <%@pageimport="java.util.*"%>404page <% EnumerationattributeNames=request.getAttributeNames(); while(attributeNames.hasMoreElements()) { StringattributeName=attributeNames.nextElement(); Objectattribute=request.getAttribute(attributeName); out.println("request.attribute['"+attributeName+"']="+attribute); } %>
exception.jsp文件
<%@pagecontentType="text/html;charset=UTF-8"isErrorPage="true"%> <%@pageimport="java.io.*"%>exceptionpage
<% response.getWriter().println("Exception:"+exception); if(exception!=null) { response.getWriter().println(""); exception.printStackTrace(response.getWriter()); response.getWriter().println(""); } respons e.getWriter().println("
"); %>在浏览器测试自定义的错误页面:
定义会话超时时间及禁止列目录
好了这篇文章就介绍到这了,希望能帮助到你。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。