项目中需要对安全问题引起足够的重视,比如下列tomcat的安全问题容易被忽略:
server.xml默认有下面一行:
<Server port="8005" shutdown="SHUTDOWN">
这样允许任何人只要telnet到服务器的8005端口,输入"SHUTDOWN",然后回车,服务器立即就被关掉了。
从安全的角度上考虑,我们需要把这个shutdown指令改成一个别人不容易猜测的字符串。
例如修改如下:
<Server port="8006" shutdown="lizongbo">,这样就只有在telnet到8006,并且输入"lizongbo"才能够关闭Tomcat.
注意:这个修改不影响shutdown.bat的执行。运行shutdown.bat一样可以关闭服务器。
参考Tomcat安全文档英文链接:http://jakarta.apache.org/tomcat/faq/security.html#8005
还有两个问题需要注意:
1、 对于tomcat3.1中,屏蔽目录文件自动列出的方法是什么?
缺省情况下,如果你访问tomcat下的一个web应用,那么如果你输入的是一个目录名,而且该目录下没有一个可用的welcome文件,那么tomcat会将该目录下的所有文件列出来,如果你想屏蔽这个缺省行为,那么可以修改conf/web.xml文件,将其中的:
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
修改为:
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
2、 如何让Tomcat记录客户端的访问日志
下面是Tomcat相关手册中的介绍:
以下是引用来自 的内容:
Valve (功能与Logger差不多,其prefix和suffix属性解释和Logger 中的一样) className 指定Valve使用的类名,
如用org.apache.catalina.valves.AccessLogValve类可以记录应用程序的访问信息 directory 指定log文件存放
的位置 pattern 有两个值,common方式记录远程主机名或ip地址,用户名,日期,第一行请求的字符串,HTTP响
应代码,发送的字节数。combined方式比common方式记录的值更多
所以需要完成的步骤:
1。修改Tomcat的conf/server.xml文件。
2。加上Valve节点到server.xml文件中,和您目前使用的Connector的节点平级。
如:<Valve className="org.apache.catalina.valves.AccessLogValve"
directory="e:/trs/trscds/tomcat/logs" pattern="combined"/>
3。重新启动您的Tomcat
4。有用户在访问的时候,在指定的log目录下面会生成一个access_log文件(每天一个)。
上述的步骤是以Tomcat4.x为例。(可能会影响性能,不推荐大家使用)。
还有一个问题:需要处理好Tomcat管理台的安全。
Tomcat管理台的应用文件,默认在{Tomcat安装目录}/server/webapps下,有admin和manager两个应用。
其用户密码,在{Tomcat安装目录}/conf/tomcat-users.xml中定义。在{Tomcat安装目录}/webapps下
admin.xml和manager.xml文件定义了可以通过访问/admin和/manager进入。
默认情况下,完全可以登录tomcat管理台,造成严重安全问题
检测办法:用IE打开链接http://[IP]:[Port]/admin,以用户名admin,密码为空登录,如果成功,
说明存在问题。
解决办法:可以删除{Tomcat安装目录}/webapps下admin.xml和manager.xml文件,或者去掉用户密
码,也可以删除应用文件。
我们一个用户提到如果找不到网页即出现404错误,会显示服务器版本号,服务器配置也一目了然,
为了避免这种情况,希望自定义设置错误页面。
设置如下:
1、将附件的index.htm文件拷贝至/webapps/ROOT目录内,删除或改名原来的index.jsp文件。
2、用记事本打开/conf/web.xml文件,在文件的倒数第二行(</web-app>一行之前)加入以下内容:
<error-page>
<error-code>404</error-code>
<location>/index.htm</location>
</error-page>
分享到:
相关推荐
Tomcat安全加固.txt
tomcat安全加固手册.pdf,总结了常用的tomcat安全加固方法,可以根据此文档完成tomcat安全加固。
TOMCAT安全加固手册
Tomcat安全加固操作清单
Tomcat安全管理规范-线上运行配置规范-线上运行安全规范
安全加固,Tomcat是重灾区。所以整理下Tomcat的安全加固。升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级.
Tomcat 的安全方面设置 简单配置过程 说明 Tomcat 的安全方面设置 简单配置过程 说明 Tomcat 的安全方面设置 简单配置过程 说明 Tomcat 的安全方面设置 简单配置过程 说明
本文档用来指导在CentOS 7 环境下,如何一步一步安装和配置JDK 1.8\Tomcat 8.5、Nginx2,并完成安全配置。 本文档适用于企业IT 人员操作,经过多次更新和验证,最后可以形成一个企业级的、完整、安全、Tomcat和Nginx...
二级等保主机安全测评作业指导书-中间件Tomcat.pdf二级等保主机安全测评作业指导书-中间件Tomcat.pdf二级等保主机安全测评作业指导书-中间件Tomcat.pdf二级等保主机安全测评作业指导书-中间件Tomcat.pdf二级等保主机...
Tomcat系统安全加固规范
asdfasdfasdfafadsfasdfsdfasdfsadfasdfsdf
https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置
01-阿里云标准-Apache Tomcat 安全基线检查
Tomcat安全加固方案..服务降权、端口保护、隐藏版本信息等等
Tomcat安全管理规范 线上运行配置规范 实用教程。 Tomcat安全管理规范-线上运行配置规范-线上运行安全规范 Tomcat 安全管理规范 线上配置规范
tomcat服务器是多数用java开发的web站点首选之一,然而默认的安全选项并不是那么完美,此教程用于tomcat安全加固问题。
以SSL加强Tomcat的安全防护能力.pdf
Tomcat安全基线,供参考
apache-tomcat8.5.51-windows和linux版本安全版本
Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat ...