一、开启tomcat管理端
[root@web01 /app/tomcat/conf]# cat tomcat-users.xml<?xml version='1.0' encoding='utf-8'?><tom ca http://tomcat.apache.org/xml"xmlns:xsi="http://www.w3.oLocation="http://tomc users.xsd"version="1.0">< role rolename="manager-gui"/><role rolena me="host-gui"/>r username="tomcat" password="tomcat"
gui,manager-gui,host-gui"/></tomcat-users>
重启tomcat后即可登陆tomcat管理端。
二、 修改telnet shutdown端口
1.修改默认的 8005 管理端口为不易猜 测的端口(大于 1024);2.修改 SHUTDOWN 指令为其他字符 串;3.以上配置项的配置内容只是建议配置,可以按照服务实际情况进行合理配置,但要求端口配置在 8000~8999 之 间;
进行修改
<Server port="8527" shutdown="dangerous">
三、禁用管理端
1. 删除默认的 {Tomcat 安装目 录}/conf/tomcat-use rs.xml 文件,重启 tomcat 后将会自动 生成新的文件;
2. 删除{Tomcat 安 装目录}/webapps 下 默认的所有目录和 文件;3.将 tomcat 应用根 目录配置为 tomcat 安装目录以外的目 录;
4、对于前段 web 模块,Tomcat 管理端属于tomcat 的高危安全隐患,一旦被攻破,黑客通过上传 web shell 的方式将会直接取得服务器的控制权,后果极其严重;
进行修改
<Context path="" docBase="/home/work/local/tomcat_webapps" debug="0" reloadable="false" crossContext="true"/>
删除conf目录下的tomcat-users.xml
删除webapps目录下默认的所有目录和文件
将tomcat网站目录配置在安装目录以外的目录
四、监牢模式
1.tomcat 启动用户权限必须为非 root 权限,尽量降低 tomcat启动用户的目录访问权限;
2.如需直接对外使用80 端口,可通过普通账号启动后,配置iptables 规则进行转发;3、 避免一旦 tomcat 服 务被入侵,黑客直接获取高级用户权限危害整个server的安全;
五、ajp连接端口保护
Apache JServ协议1.3版(简称ajp13)是一个二进制的TCP传输协议,相比当前HTTP这种纯文本协议来说它的效率和性能更加高效,然而,目前的浏览器并不能直接支持ajp13,就连目前非常火爆的nginx也没有相应的模块能支持ajp。按照官方的说法就是如果你使用的是apache,而Apache的proxy_ajp模块进行反向代理能大大提高动静分离的性能(说白了就是仅对Apache有用)。如果你用得不是apache那就趁早这样设置吧:
六、文件列表访问控制
tomcat的访问控制相当于nginx的autoindex功能,编辑conf目录下的web.xml文件,设置为true则开启:
1.conf/web.xml 文件中 default 部分listings 的配置必须为 false;
2.false 为不列出目录文件,true 为允许列出,默认为false;
修改
<init-param><param-name>listings</param-name>
<param-value>false</param-value></init-param>
七、隐藏版本号
1.修改conf/web.xml,重定向 403、404 以 及 500 等错误到指定的错误页面;
2.也可以通过修改应用程序目录下的WEB-INF/web.xml下的配置进行错误页面的重定向;3.在配置中对一些常见错误进行重定向,避免当出现错误时 tomcat 默认显示的错误页面暴露服务器和版本信息;必须确保程序根目录下的错误页面已经存在;
修改
<error-page>
<error-code>403</error-code>
<location>/forbidden.jsp</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/notfound.jsp</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/systembusy.jsp</location>
</error-page>
在server.xml添加
https://blog.csdn.net/nmb_jiang/article/details/106158447
有问题请加博主微信进行沟通!
全部评论