服务器之家:专注于服务器技术及软件下载分享
分类导航

云服务器|WEB服务器|FTP服务器|邮件服务器|虚拟主机|服务器安全|DNS服务器|服务器知识|Nginx|IIS|Tomcat|

服务器之家 - 服务器技术 - Tomcat - tomcat服务器安全设置方法

tomcat服务器安全设置方法

2021-09-09 17:12lysinely Tomcat

这篇文章主要介绍了tomcat服务器安全设置方法,需要的朋友可以参考下

tomcat是一个http服务器,是sun透过java community process开发的、对广泛使用的servlet和javaserver page(jsp)技术的正式参考实作。servlet和jsp技术用于建构http服务器应用程序。虽然servlet技术中加入了许多特性(包括存取安全性、session管理和执行绪控制)。jsp技术提供了一种处理动态生成的 html 页面的简便方法,这些 html 页面被直接编译成 servlet 以用于快速执行时作业。tomcat除了上述的两种技术保障安全之外,还可以通过配置tomcat的参数以增加安全性

安全设置:

1. 删除webapps目录下的所有文件,禁用tomcat管理界面

rm -rf /usr/local/tomcat/apache-tomcat-9.0.1/webapps/*

2.注释或删除tomcat-users.xml文件内的所有用户权限:

tomcat服务器安全设置方法

3.隐藏版本信息,修改conf/server.xml

tomcat服务器安全设置方法

tomcat服务器安全设置方法

3.用户问题:

nginx,httpd 使用root用户启动守护80端口,子进程/线程会通过setuid(),setgid()两个函数切换到普通用户。即父进程所有者是root用户,子进程与多线程所有者是一个非root用户,这个用户没有shell,无法通过ssh与控制台登陆系统;
而java 的jvm 是与系统无关的,是建立在os之上的,使用什么用户启动tomcat,那麽tomcat 就会继承该所有者的权限。
这造成了一个问题,linux系统小于1024的端口只有root可以使用,这也是tomcat默认端口是8080。如果想使用80端口只能使用root启动tomcat。这有带来了很多安全问题。

创建一个用户,只能用于启动tomcat:

groupadd -g 80 tomcat
adduser -o --home /tomcat --shell /sbin/nologin --uid 80 --gid 80 -c "web server" tomcat
chown tomcat:tomcat -r /usr/local/tomcat/apache-tomcat-9.0.1/*
su - tomcat -c "/usr/local/tomcat/apache-tomcat-9.0.1/bin/startup.sh"

做一个端口映射,访问80时调用8080端口

iptables -t nat -a prerouting -p tcp --dport 80 -j redirect --to-port 8080

tomcat服务器安全设置方法

取消跳转:

iptables -t nat -d prerouting -p tcp --dport 80 -j redirect --to-port 8080

4.关闭自动部署war

vim conf/server.xml

tomcat服务器安全设置方法

5.隐藏404出现的版本信息:

到lib下解压catalina.jar,   jar xf catalina.jar

vim /usr/local/tomcat/apache-tomcat-9.0.1/lib/org/apache/catalina/util/serverinfo.properties

tomcat服务器安全设置方法

tomcat服务器安全设置方法

6.更改关闭tomcat指令

server.xml中定义了可以直接关闭 tomcat 实例的管理端口。我们通过 telnet 连接上该端口之后,输入 shutdown (此为默认关闭指令)即可关闭 tomcat 实例(注意,此时虽然实例关闭了,但是进程还是存在的)。由于默认关闭tomcat 的端口和指令都很简单。默认端口为8005,指令为shutdown 。需要将关闭指令修改复杂一点。

tomcat服务器安全设置方法

tomcat服务器安全设置方法

或者禁用8005端口

 <server port="-1" shutdown="shutdown">

7.分离tomcat和项目用户

为了防止 tomcat 被植入 web shell 程序后,可以修改项目文件。因此我们要将 tomcat 和项目的属主做分离,这样子,即便被搞,他也无法创建和编辑项目文件。

8.在conf/web.xml  添加如下配置

tomcat服务器安全设置方法

9.自定义错误页面

web.xml是在某一个应用下面的,他处理的应当是本应用的404,而http://localhost/访问的是tomcat自已的应用,那么这个web.xml配置就应当在webapp/root/下面的应用来配了,
root目录下面放着tomcat的应用,把里面换成自已的就行了.
在/webapps/root/web-inf/web.xml添加

tomcat服务器安全设置方法

在webapps目录下创建error.jsp文件

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<%@ page contenttype="text/html; charset=utf-8" %>
<%@ page import="java.io.*" %>
<%@ page import="java.util.*" %>
<html>
<header>
<title>404 page</title>
<body>
<pre>
<%
  enumeration<string> attributenames = request.getattributenames();
  while (attributenames.hasmoreelements())
  {
    string attributename = attributenames.nextelement();
    object attribute = request.getattribute(attributename);
  out.println("request.attribute['" + attributename + "'] = " + attribute);
  }
%>
</pre>

tomcat服务器安全设置方法

exception.jsp文件

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<%@ page contenttype="text/html; charset=utf-8" iserrorpage="true" %>
<%@ page import="java.io.*" %>
<html>
<header>
<title>exception page</title>
<body>
<hr/>
<pre>
<%
response.getwriter().println("exception: " + exception);
 
if(exception != null)
{
  response.getwriter().println("<pre>");
  exception.printstacktrace(response.getwriter());
  response.getwriter().println("</pre>");
}
 
respons
e.getwriter().println("<hr/>");
%>

在浏览器测试自定义的错误页面:

tomcat服务器安全设置方法

tomcat服务器安全设置方法

定义会话超时时间及禁止列目录

tomcat服务器安全设置方法

好了这篇文章就介绍到这了,希望能帮助到你。

原文链接:https://blog.csdn.net/lysinely/article/details/79005616

延伸 · 阅读

精彩推荐