Tomcat安全加固配置

  • A+
所屬分類:Tomcat

Tomcat服務默認啟用了管理后臺功能,使用該后臺可直接上傳 war 文件包對站點進行部署和管理。如果疏忽,可能導致管理后臺存在空口令或者弱口令的漏洞,使得黑客或者不法分子可以利用該漏洞直接上傳 Webshell 腳本導致服務器淪陷。

通常 Tomcat 后臺管理的 URL 地址為?http://iP:8080/manager/html/

黑客通過猜解到的口令登錄 Tomcat 管理后臺后,可以上傳 Webshell 腳本導致服務器被入侵。

安全加固方案

由于此類型漏洞可能對業務系統造成比較嚴重的危害,建議您針對 Tomcat 管理后臺進行以下安全加固配置。

1. 網絡訪問控制

  • 如果您的業務不需要使用 Tomcat 管理后臺管理業務代碼,直接將 Tomcat 部署目錄中 webapps 文件夾中的 manager、host-manager 文件夾全部刪除,并注釋 Tomcat 目錄中 conf 文件夾中的 tomcat-users.xml 文件中的所有代碼。
  • 如果您的業務系統確實需要使用 Tomcat 管理后臺進行業務代碼的發布和管理,建議為 Tomcat 管理后臺配置強口令,并修改默認 admin 用戶,且密碼長度不低于10位,必須包含大寫字母、特殊符號、數字組合。

2. 開啟 Tomcat 的訪問日志

修改 conf/server.xml 文件,將下列代碼取消注釋:

啟用訪問日志功能,重啟 Tomcat 服務后,在 tomcat_home/logs 文件夾中就可以看到訪問日志。

3. Tomcat 默認帳號安全

修改 Tomcat 安裝目錄 conf 下的 tomcat-user.xml 文件,重新設置復雜口令并保存文件。重啟 Tomcat 服務后,新口令即生效。

4. 修改默認訪問端口

修改 conf/server.xml 文件把默認的 8080 訪問端口改成其它端口。

5. 重定向錯誤頁面

修改訪問 Tomcat 錯誤頁面的返回信息,在 webapps\manger 目錄中創建相應的401.html、404.htm、500.htm 文件,然后在 conf/web.xml 文件的最后一行之前添加下列代碼:

6. 禁止列出目錄

防止直接訪問目錄時由于找不到默認頁面,而列出目錄下的文件的情況。

在 web.xml 文件中,將<param-name>listings</param-name>改成<param-name>false</param-name>

7. 刪除文檔和示例程序

刪除 webapps 目錄下的 docs、examples、manager、ROOT、host-manager 文件夾。

weinxin
微信公眾號
掃一掃關注運維生存時間公眾號,獲取最新技術文章~

發表評論

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: