生产环境 Tomcat 安全规范

本贴最后更新于 471 天前,其中的信息可能已经时移世异

Tomcat 的安全

生产环境 Tomcat 规范

  1. 更改服务监听端口
    若 Tomcat 都是放在内网的,则针对 Tomcat 服务的监听地址都是内网地址

    标准配置:<Connector port="10000" server="webserver"/>

  2. telnet 管理端口保护
    修改默认的 8005 管理端口不易猜测(大于 1024),但要求端口配置在 8000~8999 之间

    修改 SHUTDOWN 命令为其他字符串
    标准配置:<Server port="8578" shutdown="dangerous">

  3. AJP 连接端口的保护
    修改默认的 ajp 8009 端口为不易冲突(大于 1024),但要求端口配置在 8000~8999 之间

    通过 iptables 规则限制 ajp 端口访问的权限仅为线上机器,目的在于防止线下测试流量被 apache 的 mod_jk 转发至线上 Tomcat 服务器

    标准配置:<Connector port="8349" protocol="AJP/1.3"/>

  4. 禁用管理端
    删除默认 $CATALINA_HOME/conf/tomcat-users.xml 文件,重启 Tomcat 将会自动生成新的文件

    删除 $CATALINA_HOME/webapps 下载默认的所有目录和文件

    将 Tomcat 应用根目录配置为 Tomcat 安装目录以外的目录

    标准配置:

    • server.xml 配置

    一种直接修改 Host 节点信息,表示全局配置

    <Host name="localhost" appBase="/data/www/tomcat_webapps" unpackWARs="true" autoDeploy="false"></Host>

    另一种直接在 Host 节点中新增 Context 节点,指定具体的项目

    <Context path="" docBase="/usr/local/tomcat/webapps/jenkins" debug="0" reloadable="false" crossContext="true"> </Context>

    • 在 $CATALINA_HOME/conf/Catalina/locathost 目录下新增文件 test##20160506172651.xml

    <Context displayName="test" docBase="/data/www/tomcat_webapps/test##20160506172651.war" reloadable="false" />

  5. 隐藏 Tomcat 的版本信息
    针对该信息的显示是由一个 jar 包控制的,该 jar 包存放在 $CATALINA_HOME/lib 目录下,名称为 catalina.jar,通过 jar xf 命令解压这个 jar 包会得到两个目录 META-INF 和 org ,修改 org/apache/catalina/util/ServerInfo.properties 文件中的 serverinfo 字段来实现来更改我们 Tomcat 的版本信息

    $ cd $CATALINA_HOME/lib
    $ jar xf catalina.jar
    $ cat org/apache/catalina/util/ServerInfo.properties |grep -v '^$|#'
    $ mkdir -p org/apache/catalina/util
    $ vim ServerInfo.properties
    server.info=nolinux        # 把这个值改成其它值就行了
    

    自定义错误页面:修改 $CATALINA_HOME/conf/web.xml 重定向 403/404/500 等错误到指定的错误页面

  6. 降权启动
    Tomcat 启动用户权限必须非 root 权限,尽量降低 Tomcat 启动用户的目录访问权限,如需直接对外使用 80 端口,可通过普通账号启动后,配置 iptables 规则进行转发,为了防止 Tomcat 被植入 Web shell 程序后,可以修改项目文件。要将 Tomcat 和项目的属主做分离,即便被破坏也无法创建和编辑项目文件

  7. 文件列表访问控制
    $CATALINA_HOME/conf/web.xml 文件中的 default 部分的 listings 的配置必须为 false(默认),表示不列出文件列表

  8. 访问限制
    通过配置,限定访问的 IP 来源

    全局设置限定 IP 和域名访问:

    <Host name="localhost"  appBase="/data/www/tomcat_webapps"   unpackWARs="true" autoDeploy="false">
       <Valve className="org.apache.catalina.valves.RemoteAddrValve"  allow="192.168.1.10,192.168.1.30,192.168.2.*" deny=""/>  
       <Valve className="org.apache.catalina.valves.RemoteHostValve"  allow="www.test.com,*.test.com" deny=""/>
    </Host>
    
  9. 脚本权限回收
    控制 CATALINAHOME/bin 目录下的 start.sh、catalina.sh、shutdown.sh 的可执行权限,chmod−R744CATALINAHOME/bin 目录下的 start.sh、catalina.sh、shutdown.sh 的可执行权限,chmod−R744CATALINA_HOME/bin/*

  10. 访问日志格式规范
    开启 Tomcat 默认访问日志中 Referer 和 User-Agent 记录

    标准配置:

    <Valve className="org.apache.catalina.valves.AccessLogValve"
       directory="logs" prefix="localhost_access_log"
         suffix=".txt" pattern="%h %l %u %t "%r" %s %b %{Referer}i %{User-Agent}i %D"
         resolveHosts="false" />
    
  11. Server header 重写
    在 HTTP Connector 配置中加入 server 的配置,server=”chuck-server”

  • Tomcat

    Tomcat 最早是由 Sun Microsystems 开发的一个 Servlet 容器,在 1999 年被捐献给 ASF(Apache Software Foundation),隶属于 Jakarta 项目,现在已经独立为一个顶级项目。Tomcat 主要实现了 JavaEE 中的 Servlet、JSP 规范,同时也提供 HTTP 服务,是市场上非常流行的 Java Web 容器。

    146 引用 • 524 回帖

赞助商 我要投放

2 回帖
请输入回帖内容 ...
  • mufengcoding

    这是以什么为标准来设置的呀

    1 回复
  • lbb4511

    Tomcat 的安全安全安全安全安全安全安全