2. 程式人生 > >生產環境Tomcat安全規範

生產環境Tomcat安全規範

阿新 發佈:2019-01-05

Tomcat的安全

生產環境tomcat規範

1.更改服務監聽埠

若 Tomcat 都是放在內網的,則針對 Tomcat 服務的監聽地址都是內網地址

標準配置:<Connector port="10000" server="webserver"/>

2.telnet管理埠保護

修改預設的 8005 管理埠不易猜測(大於1024),但要求埠配置在8000~8999之間

修改SHUTDOWN命令為其他字串
標準配置:<Server port="8578" shutdown="dangerous">

3.AJP連線埠的保護

修改預設的ajp 8009埠為不易衝突(大於1024),但要求埠配置在8000~8999之間

通過iptables規則限制ajp埠訪問的許可權僅為線上機器,目的在於防止線下測試流量被apache的mod_jk轉發至線上tomcat伺服器

標準配置:<Connector port="8349" protocol="AJP/1.3"/>

4.禁用管理端

刪除預設$CATALINA_HOME/conf/tomcat-users.xml檔案,重啟tomcat將會自動生成新的檔案

刪除$CATALINA_HOME/webapps下載預設的所有目錄和檔案

將tomcat應用根目錄配置為tomcat安裝目錄以外的目錄

標準配置:

a.server.xml配置
一種直接修改Host節點資訊,表示全域性配置

<Host name="localhost"  appBase="/data/www/tomcat_webapps" unpackWARs="true" autoDeploy="false"></Host>

另一種直接在Host節點中新增Context節點,指定具體的專案

<Context path="" docBase="/usr/local/tomcat/webapps/jenkins" debug="0" reloadable="false" crossContext="true">
 

</Context>

b.在$CATALINA_HOME/conf/Catalina/locathost目錄下新增檔案 test##20160506172651.xml

<Context displayName="test" docBase="/data/www/tomcat_webapps/test##20160506172651.war" reloadable="false" />

5.隱藏Tomcat的版本資訊

針對該資訊的顯示是由一個jar包控制的,該jar包存放在$CATALINA_HOME/lib目錄下,名稱為 catalina.jar,通過 jar xf 命令解壓這個 jar 包會得到兩個目錄 META-INF 和 org ,修改 org/apache/catalina/util/ServerInfo.properties 檔案中的 serverinfo 欄位來實現來更改我們tomcat的版本資訊

$ cd $CATALINA_HOME/lib
$ jar xf catalina.jar
$ cat org/apache/catalina/util/ServerInfo.properties |grep -v '^$|#'
$ mkdir -p org/apache/catalina/util
$ vim ServerInfo.properties
server.info=nolinux        # 把這個值改成其它值就行了

自定義錯誤頁面:修改$CATALINA_HOME/conf/web.xml重定向 403/404/500等錯誤到指定的錯誤頁面

6.降權啟動

Tomcat啟動使用者許可權必須非root許可權,儘量降低tomcat啟動使用者的目錄訪問許可權,如需直接對外使用80埠,可通過普通賬號啟動後,配置iptables規則進行轉發,為了防止 Tomcat 被植入 web shell 程式後,可以修改專案檔案。要將 Tomcat 和專案的屬主做分離,即便被破壞也無法建立和編輯專案檔案

7.檔案列表訪問控制

$CATALINA_HOME/conf/web.xml檔案中的default部分的listings的配置必須為false(預設),表示不列出檔案列表

8.訪問限制

通過配置,限定訪問的IP來源

全域性設定限定IP和域名訪問:

<Host name="localhost"  appBase="/data/www/tomcat_webapps"   unpackWARs="true" autoDeploy="false">
   <Valve className="org.apache.catalina.valves.RemoteAddrValve"  allow="192.168.1.10,192.168.1.30,192.168.2.*" deny=""/>  
   <Valve className="org.apache.catalina.valves.RemoteHostValve"  allow="www.test.com,*.test.com" deny=""/>
</Host>

9.指令碼許可權回收

控制CATALINAHOME/binstart.shcatalina.shshutdown.shchmodR744CATALINA_HOME/bin/*

10.訪問日誌格式規範

開啟tomcat預設訪問日誌中Referer和User-Agent記錄

標準配置:

<Valve className="org.apache.catalina.valves.AccessLogValve"
   directory="logs" prefix="localhost_access_log"
     suffix=".txt" pattern="%h %l %u %t &quot;%r&quot; %s %b %{Referer}i %{User-Agent}i %D"
     resolveHosts="false" />

11.Server header重寫

在HTTP Connector配置中加入server的配置,server=”chuck-server”

相關推薦

生產環境Tomcat安全規範

Tomcat的安全 生產環境tomcat規範 1.更改服務監聽埠 若 Tomcat 都是放在內網的,則針對 Tomcat 服務的監聽地址都是內網地址 標準配置:<Connector port="10000" server="webserv

生產環境tomcat引數設定建議

tomcat預設的引數配置是為開發環境定製的,所以記憶體和執行緒的配置都很低,如果直接應用在生產環境,很容易造成效能瓶頸;以下分別從JVM、執行緒池以及連線引數方面給出優化建議: 1. JVM 優化:

測試及生產環境tomcat配置

環境:系統為suse11 sp1軟體版本:jdk1.7.0_80.zipapr.tar.gzapache-tomcat.tar.gztomcat部署目錄為/apps,應用以ebay為例注意:實際配置要根據實際環境做改變,僅供參考1、jdk環境配置root使用者unzip jd

生產環境Tomcat伺服器訪問HDFS報錯

下載Tomcat日誌檔案 runtime_info.log檢視資訊: [WARN ][19-01-11 18:07:19][http-nio-8080-exec-3][*]Exception encountered while connecting to the server : jav

Mysql生產環境安全規範

一、Mysql伺服器安全規範1. 禁止應用直連DB,一般通過代理訪問2. 禁止DB公網訪問。3. 禁止生產和辦公互通,需生產環境和辦公環境隔離。4. Linux系統初始化安全選項:    1)、一些alias,寫入/etc/profile,防止誤操作            a

生產環境遇到的hashMap非線程安全問題java.lang.thread.waiting

線程安全 單點故障 pty isempty pan mage 分享 tab 記錄 寫在前面:工作有幾年了,從入門到現在,遇到也解決了一些問題。(當然,框架級別的暫時還沒有)一直以來,都是從博客園以及其他各大社區搜羅出來的各種fix方法。目前稍有閑暇時間,在看過大V沈劍的博文

Tomcat安全管理規範

靜態化 using classpath 端口配置 黑客 shel 情況 aps ssp s 前言 隨著公司內部使用Tomcat作為web應用服務器的規模越來越大,為保證Tomcat的配置安全,防止信息泄露,惡性攻擊以及配置的安全規範,特制定此Tomcat安全配置規範。

利用ansible-playbook從測試環境獲取tomcat中java項目新版本發布到生產環境

java 還在 ack 類型 pro http ignore entry 最新 一、環境描述 安裝有ansible的服務器:192.168.13.45 測試環境服務器:192.168.13.49 /home/app/api-tomcat/webapps/api.war為測試

生產環境nginx配置文件(帶https安全認證)

tar edi proc method fault res root ash fas #user www www; worker_processes 2; error_log logs/error.log info; pid /usr/local/ng

nginx 和 tomcat 生產環境配置 建議和方法

線程鎖 nginx參數 java_opts 持久 maxperm tex 防止 線程 jsp 參考 以下內容: http://blog.csdn.net/lifetragedy/article/details/7708724

生產環境tomcat調優和jvm調化

Tomcat 的預設配置是不能穩定長期執行的,也就是不適合生產環境,它會宕機,讓你不斷重新啟動,甚至在午夜時分喚醒你。對於作業系統優化來說,是儘可能的增大可使用的記憶體容量、提高CPU 的頻率,保證檔案系統的讀寫速率等。經過壓力測試驗證,在併發連線很多的情況下,CPU 的處理能力越強,系統執行速度越

【轉】Docker 生產環境之安全性 - 適用於 Docker 的 Seccomp 安全配置檔案

安全計算模式(secure computing mode,seccomp)是 Linux 核心功能。可以使用它來限制容器內可用的操作。seccomp() 系統呼叫在呼叫程序的 seccomp 狀態下執行。可以使用此功能來限制你的應用程式的訪問許可權。 只有在使用&nb

生產環境增加交換分割槽swap,解決tomcat崩潰的問題

生產環境增加交換分割槽swap,解決tomcat崩潰的問題 在生產環境kvm叢集,vm根據模板建立,所以每個vm的swap都是200M。但是tomcat有時候會(裝有多個tomcat的情況下)會頻繁交換資料。導致200M交換分割槽不足。於是需要臨時增加swap。 第一部分:使用s

【中介軟體安全Tomcat 安全加固規範

1. 適用情況 適用於使用Tomcat進行部署的Web網站。 2. 技能要求 熟悉Tomcat配置操作,能夠利用Tomcat進行建站,並能針對站點使用Tomcat進行安全加固。 3. 前置條件 1、根據站點開放埠,程序ID,程序名稱,確認站點採用Tomcat進行部署; 2、找到Tomcat路徑:

Tomcat 生產環境配置優化

執行模式 Tomcat Connector三種執行模式(BIO, NIO, APR)的比較和優化。 org.apache.coyote.http11.Http11Protocol:BIO org.apache.coyote.http11.Http11NioProtocol

Tomcat生產環境應用

概要: Tomcat各核心元件認知 Tomcat server.xml 配置詳解 Tomcat IO模型介紹 一、Tomcat各元件認知 知識點: Tomcat架構說明 Tomcat元件及關係詳情介紹 Tomcat啟動引數說明 一  Tomcat架構說明 To

生產環境指令碼變更tomcat應用後啟動失敗記錄

之前部門開發在執行我寫的tomcat變更指令碼後經常會出現第二天發現tomcat服務沒有起來的現象,今天配合部門進行了問題排查。 指令碼如下: $ cat uphbase.sh  w=`date +%Y%m%d%H%M%S` newfiledir=/data/webApp/war_pac

centos7下tomcat8.5安裝部署與優化 centos 7 Tomcat 8.5 的安裝及生產環境的搭建調優

轉自:https://www.cnblogs.com/busigulang/articles/8529719.html centos 7 Tomcat 8.5 的安裝及生產環境的搭建調優 一 安裝tomcat 8.5修改執行級別為文字# ln -sf /lib/systemd/system/m

生產環境如何重啟tomcat

如果是系統安裝,可以直接用服務管理指令碼進行, 如ubuntu在/etc/init.d/tomcat8 主要思路是先用start-stop-daemon發停止訊號結tomcat程序, 如果不能順利結束, 再用kill殺掉程序. 使用方法是 $ sudo

11、高效能web架構之tomcat安全管理規範

Tomcat的常用安全管理規範: 如何修改tomcat的預設路徑: 1、主配置檔案是server.xml ,如何修改tomcat預設訪問路徑: a、建立jsp目錄和index.jsp頁面: [[email protected] ~]# mkdir