tomcat安全增强

超、凢脫俗 2022-06-08 09:24 260阅读 0赞

tomcat安全增强

1.禁用tomcat后台业务管理功能

默认安装tomcat自带启用了管理后台功能，能直接上传war对站点进行部署和管理，容易导致管理后台空口令或者弱口令的产生，黑客能利用该漏洞直接上传webshell导致服务器沦陷。

通常访问tomcat后台管理地址为http://ip:8080/manager/html/。

a)如果项目不需要使用tomcat管理后台管理业务代码，建议直接将部署tomcat目录下webapps下的manager, host-manager文件夹全部删除。

b)如果项目需要要用tomcat管理后管理业务代码，则建议加强管理后台配置账号的复杂度：取消默认admin用户更改用户名，设置复杂密码，长度超过12。

账号配置文件：conf/tomcat-users.xml

2.删除tomcat文档和示例程序

如果没有特殊需求，建议删除webapps目录下的docs, examples, manager, ROOT, host-manager目录。

3.开启Tomcat的访问日志

修改配置文件打开访问日志：conf/server.xml，重启tomcat：

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"

prefix="localhost\_access\_log." suffix=".txt" pattern="common" resolveHosts="false"/>

4.tomcat默认帐号安全

修改conf/tomcat-user.xml，重新设置复杂口令后并保存文件，重启tomcat：

5.修改默认访问端口

conf/server.xml。

web访问端口不要使用80或8080大家熟知的端口，改成任意端口。

6.禁止列出目录

防止直接访问目录时由于找不到默认页面而列出目录下的文件。

打开web.xml，将<param-name>listings</param-name> 改成 <param-name>false</param-name>

7.重定向错误页面或隐藏tomcat版本号

当404或者500页面错误时，tomcat会返回相应版本号，为安全起见，可重定向错误页面，或隐藏或修改其版本号。

a)直接修改配置，错误400或505，隐藏tomcat版本号：

cd $TOMCAT\_HOME/lib

mkdir -p org/apache/catalina/util

cd org/apache/catalina/util

vim ServerInfo.properties

server.info=Apache Tomcat ---如果想修改成其它版本号，也修改这里

也可以错误重定向

b)重定向错误页面

修改conf/web.xml

文件末尾</web-app>的前一行，增加内容：

<error-page>

<error-code>404</error-code>  
      <location>/error.jsp</location>  
      </error-page>  
         
       <error-page>  
      <error-code>500</error-code>  
      <location>/error.jsp</location>

</error-page>

发表评论取消回复

表情：

评论列表（有 0 条评论，260人围观）

还没有评论，来说两句吧...

相关阅读

相关 Tomcat之安全

配置安全一）删除webapps目录下的所有文件，禁用tomcat管理界面；二）注释或者删除tomcat-users.xml文件内所有用户的权限；三）更改关闭to

柔情只为你懂/ 2023年03月12日 09:22/ 0 赞/ 113 阅读

相关 Tomcat服务器Day09-Tomcat安全

Tomcat安全配置安全应用安全传输安全 HTTPS协议 SSL协议 HTTPS和HTTP比

秒速五厘米/ 2023年01月08日 04:28/ 0 赞/ 226 阅读

相关安全：Tomcat安全建议。

控制台弱口令检查描述 tomcat-manger是Tomcat提供的web应用热部署功能，该功能具有较高权限，会直接控制Tomcat应用，应尽量避免使用此功能。如

梦里梦外;/ 2022年11月22日 05:16/ 0 赞/ 403 阅读

相关 tomcat安全配置

禁用目录访问 1、为什么要禁用： Tomcat默认可以进行目录访问，存在安全隐患。在浏览器地址输入类似url：http://192.168.1.11:8080/rb

妖狐艹你老母/ 2022年08月26日 14:09/ 0 赞/ 231 阅读

相关 tomcat的安全配置

一、目的本标准是Qunar信息系统安全技术标准的一部分，主要目的是根据信息安全管理政策要求，为tomcat配置提供安全标准。二、范围适用于我司所有tomc

傷城~/ 2022年08月23日 11:50/ 0 赞/ 410 阅读

相关 tomcat安全增强

tomcat安全增强 1.禁用tomcat后台业务管理功能默认安装tomcat自带启用了管理后台功能，能直接上传war对站点进行部署和管理，容易导致管理后台空口令或者

超、凢脫俗/ 2022年06月08日 09:24/ 0 赞/ 261 阅读

相关增强for循环的线程安全问题

增强for循环在遍历集合的时候，底层是使用迭代器来实现的。当我们在for循环内部操作时，就会抛出一个异常。如下 package com.deepCop

柔光的暖阳◎/ 2022年05月30日 03:39/ 0 赞/ 142 阅读

相关安全加固-Nginx-Tomcat

![安全加固-Nginx-Tomcat][-Nginx-Tomcat] 转载于:https://blog.51cto.com/10945453/2397641 [-Ngi

短命女/ 2022年01月12日 18:05/ 0 赞/ 322 阅读

相关快速增强路由器安全的十个技巧

很多网络管理员还没有认识到他们的路由器能够成为\\\的热点，路由器操作系统同网络操作系统一样容易受到\\\的\\\。大多数中小企业没有雇佣路由器工程师，也没有把这项功能当成一件

分手后的思念是犯贱/ 2022年01月10日 23:47/ 0 赞/ 152 阅读

相关 Tomcat--安全配置

配置安全 1. 删除webapps目录下的所有文件，禁用tomcat管理界面； 2. 注释或者删除tomcat-users.xml文件的所有用户权限； 3. 更改关

红太狼/ 2021年08月27日 21:15/ 0 赞/ 492 阅读