下面来说一下,日常工作当中我们需要注意的一些tomcat的安全规范:
一:telnet管理端口的保护
|
类别 |
配置内容及其说明 |
标准配置 |
备注 |
|
Telnet 管理端口的保护 (强制)
|
(1)配置文件中的默认端口是8005管理端口,所以为了不容易攻击,最好端口改成其他的(大于1024,建议设区间为8000~8999) (2)改SHUTDOWN 指令为其他的字符串 |
<Server port="=8517" shutdown="dangerous"> |
二:AJP管理端口的保护:
|
类别 |
配置内容及其说明 |
标准配置 |
备注 |
|
AJP连接端口的保护 |
(1)修改默认的的ajp 8009端口为不易冲突的大于1024的端口。 (2)通过iptables规则限制ajp端口访问权限仅为线上的服务器 |
<Connector port="8553 otocol="AJP/1.3" redirectPort="8443" /> |
以上为建议配置,需根据生产需求修改,端口要求8000~8999之间,保护端口的目的在于防止线下的测试流量被mod_jk转发至线上tomcat服务器。 我们可用HTTP的方式,也可以选用AJP的方式。如果要是选用AJP的方式的话,就按照上面的方式修改 |
三:禁止使用管理端
|
类别 |
配置内容及其说明 |
标准配置 |
备注 |
|
禁用管理端 |
|
|
四:降权启动
|
类别 |
配置内容及其说明 |
标准配置 |
备注 |
|
降权启动 |
|
|
五:文件列表的访问控制
|
类别 |
配置内容及其说明 |
标准配置 |
备注 |
|
禁用管理端 |
|
|
六:版本信息的隐藏
|
类别 |
配置内容及其说明 |
标准配置 |
备注 |
|
禁用管理端 |
|
|
七:server header重写
|
类别 |
配置内容及其说明 |
标准配置 |
备注 |
|
禁用管理端 |
|
|
八:访问限制
|
类别 |
配置内容及其说明 |
标准配置 |
备注 |
|
禁用管理端 |
|
|
九:启停脚本的权限收回
|
类别 |
配置内容及其说明 |
标准配置 |
备注 |
|
禁用管理端 |
|
|
十:访问日志格式的规范:
|
类别 |
配置内容及其说明 |
标准配置 |
备注 |
|
禁用管理端 |
|
|