tomcat 的安全规范

下面来说一下,日常工作当中我们需要注意的一些tomcat的安全规范:

 

一:telnet管理端口的保护

类别 配置内容及其说明 标准配置 备注

Telnet

管理端口的保护

(强制)

(1)配置文件中的默认端口是8005管理端口,所以为了不容易攻击,最好端口改成其他的(大于1024,建议设区间为8000~8999)

(2)改SHUTDOWN

指令为其他的字符串

<Server port=”=8517″ shutdown=”dangerous”>

 

 

 

二:AJP管理端口的保护:

类别 配置内容及其说明 标准配置 备注

 

 


AJP连接端口的保护

 

(1)修改默认的的ajp 8009端口为不易冲突的大于1024的端口。

(2)通过iptables规则限制ajp端口访问权限仅为线上的服务器

 

 

<Connector port=”8553 otocol=”AJP/1.3″ redirectPort=”8443″ />

以上为建议配置,需根据生产需求修改,端口要求8000~8999之间,保护端口的目的在于防止线下的测试流量被mod_jk转发至线上tomcat服务器。

我们可用HTTP的方式,也可以选用AJP的方式。如果要是选用AJP的方式的话,就按照上面的方式修改

三:禁止使用管理端

类别

配置内容及其说明

标准配置

备注

 禁用管理端

 

 

 

 

四:降权启动

类别

配置内容及其说明

标准配置

备注

 降权启动

 

 

 

五:文件列表的访问控制

类别

配置内容及其说明

标准配置

备注

 禁用管理端

 

 

六:版本信息的隐藏

类别

配置内容及其说明

标准配置

备注

 禁用管理端

 

 

七:server header重写

类别

配置内容及其说明

标准配置

备注

 禁用管理端

 

 

八:访问限制

类别

配置内容及其说明

标准配置

备注

 禁用管理端

 

 

九:启停脚本的权限收回

类别

配置内容及其说明

标准配置

备注

 禁用管理端

 

 

十:访问日志格式的规范:

类别

配置内容及其说明

标准配置

备注

 禁用管理端

 

 

 

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.