Tomcat安全配置
Tomcat服務默認啟用了管理後臺功能,使用該後臺可直接上傳 war 文件包對站點進行部署和管理。可能導致管理後臺存在空口令或者弱口令的漏洞,使得黑客或者不法分子可以利用該漏洞導致服務器淪陷。
通常 Tomcat 後臺管理的 8080端口
黑客通過口令登錄 Tomcat 管理後臺後,可以上傳腳本導致服務器被入侵。
由於此類型漏洞可能對業務系統造成比較嚴重的危害,建議您針對 Tomcat 管理後臺進行以下安全加固配置。
1. 網絡訪問控制
如果您的業務不需要使用 Tomcat 管理後臺管理業務代碼,直接將 Tomcat 部署目錄中 webapps 文件夾中的 manager、host-manager 文件夾全部刪除,並註釋 Tomcat 目錄中 conf 文件夾中的 tomcat-users.xml 文件中的所有代碼。
如果您的業務系統確實需要使用 Tomcat 管理後臺進行業務代碼的發布和管理,建議為 Tomcat 管理後臺配置強口令,並修改默認 admin 用戶,且密碼長度不低於10位,必須包含大寫字母、特殊符號、數字組合。
2. 開啟 Tomcat 的訪問日誌
修改 conf/server.xml 文件,將下列代碼取消註釋:
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>啟用訪問日誌功能,重啟 Tomcat 服務後,在 tomcat_home/logs 文件夾中就可以看到訪問日誌。
3. Tomcat 默認帳號安全
修改 Tomcat 安裝目錄 conf 下的 tomcat-user.xml 文件,重新設置復雜口令並保存文件。重啟 Tomcat 服務後,新口令即生效。
4. 修改默認訪問端口
修改 conf/server.xml 文件把默認的 8080 訪問端口改成其它端口。
5. 重定向錯誤頁面
修改訪問 Tomcat 錯誤頁面的返回信息,在 webapps\manger 目錄中創建相應的401.html、404.htm、500.htm 文件,然後在 conf/web.xml 文件的最後一行之前添加下列代碼:
6. 禁止列出目錄
防止直接訪問目錄時由於找不到默認頁面,而列出目錄下的文件的情況。
在 web.xml 文件中,將<param-name>listings</param-name>改成<param-name>false</param-name>。
7. 刪除文檔和示例程序
刪除 webapps 目錄下的 docs、examples、manager、ROOT、host-manager 文件夾。
Tomcat安全配置