Tomcat安全配置

发表于 2019-10-01 更新于 2024-01-13 分类于 Tomcat ， Java ， Linux

一、创建低权限的账号运行Tomcat

1	useradd tomcat

二、Tomcat目录权限检测

1 2	chown -R tomcat:tomcat /data0/dk/cms/ chown -R tomcat:tomcat /data0/dk/recommend/

三、限制服务器平台信息泄漏

1、进入Tomcat安装主目录的lib目录下，比如 cd /usr/local/tomcat7/lib
2、执行：jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties，修改文件ServerInfo.properties中的server.info和server.number的值，如分别改为：Apache/11.0.92、11.0.92.0
3、执行：jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties
4、重启Tomcat服务

cd /data0/dk/cms/lib
jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties
echo "server.info=Foundao/1
server.number=1.0
server.built=Aug 2 2017 20:29:05 UTC" > org/apache/catalina/util/ServerInfo.properties
jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties

四、禁止自动部署

修改Tomcat 跟目录下的配置文件conf/server.xml，将host节点的autoDeploy属性设置为“false”，如果host的deployOnStartup属性(如没有deployOnStartup配置可以忽略)为“true”，则也将其更改为“false“

五、禁止显示异常调试信息

在Tomcat根目录下的conf/web.xml文件里面的web-app添加子节点：java.lang.Throwable/，在webapps目录下创建error.jsp，定义自定义错误信息
java.lang.Throwable/error.jsp，在webapps目录下创建error.jsp，定义自定义错误信息

六、开启日志记录

1、修改Tomcat根目录下的conf/server.xml文件。
2、取消Host节点下Valve节点的注释(如没有则添加)。

3、重新启动Tomcat

七、禁止Tomcat显示目录文件列表

修改Tomcat 跟目录下的配置文件conf/web.xml，将listings的值设置为false。
listings
false

八、删除项目无关文件和目录

删除Tomcat示例程序和目录、管理控制台等，即从Tomcat根目录的webapps目录，移出或删除docs、examples、host-manager、manager等

九、避免为tomcat配置manager-gui弱口令

编辑Tomcat根目录下的配置文件conf/tomcat-user.xml，修改user节点的password属性值为复杂密码, 密码应符合复杂性要求：

1、长度8位以上
2、包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%、@、^、&)
3、避免使用已公开的弱密码，如：abcd.1234 、admin@123等