javaweb网站安全问题web网站安全问题防范安全部署tomcat方法

Apache tomcat是JAVA开发,JSP运行首选的web环境,国内很多网站,以及平台

都在使用
tomcat 环境来运行网站,高效,稳定,安全,赢得了国内许多客户。
 
javaweb网站安全问题web网站安全问题防范安全部署tomcat方法
 
tomcat 该如何安全设置与部署呢?
 
SINE安全教您一步一步把tomcat安全做到极致。
 
现在tomcat最新版本是 Apache Tomcat 9.0,M21,
 
http://tomcat.apache.org/download-90.cgi  基于最新的版本下面进行安全配置。
 
如果以前用的是7.0 8.0 8.5老版本的tomcat环境,请尽快升级到9.0 M21版本,并修补
 
 
漏洞。首先打开 tomcat_home/webapps 文件夹,默认存在 docs 和 examples 文件夹,
 
这两个文件是文档跟示例程序,其实没有什么用,建议直接删除。
 
 
 
1.Apache tomcat 加强运行账户的安全权限设置

 
Linux系统,创建一个tomcat用户安全组,权限设置普通,赋值于tomcat运行服务进
 
程。
 
windows 2003 2008系统的apache tomcat安全设置,控制面板里打开计算机管理,添
 
 
加一个用户例如:tomcat用户,设置普通用户权限,然后在服务里找到apache tomcat 
 
 
9.0服务名称,并右键属性,设置登录身份,把刚才新建立的tomcat账户跟密码写上,并
 
 
确定,应用即可。Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测
 
、网站安全测试、于一体的安全服务提供商。
 
 
2. 禁止apache tomcat 网站列出目录
 
 
tomcat默认的设置,是可以直接列目录的,导致黑客可以看到一些私密的文件,建议修
 
 
改web.xml文件,找到listings,然后修改listings为false,即可。这样黑客就列不出
 
 
目录了。
 
 
3. 检查Tomcat的管理账户密码
 
 
默认通过http://网站:8080/manager/html 可以直接访问管理页面,如果不使用,
 
 
建议删除 tomcat_home/webapps/manager 和host-manager 文件夹。
 
如果使用 tomcat manager,打开tomcat_home/conf/tomcat-users.xml,修改用户
 
 
密码,加强密码的复杂程度,例如:
 
<role rolename="manager"/>
 
<user username="tomcat" password="复杂的密码" roles="manager"/>
 
在 tomcat-users.xml 中为所有用户设置数字大小写字符16位以上的复杂密码。
 
 
默认通过http://网站:8080/admin 也是可以访问tomcat admin的管理页面,如果不使
 
 
用的话,建议直接删除tomcat_home/webapps/admin文件夹。
 
 
4.开启tomcat的安全日志功能,当被攻击时可以查看日志查找问题所在
 
 
安全日志存到 tomcat_home/logs 中,访问日志默认是开启的,检查下是否有这个文件
 
 
夹。Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测、网站安全测
 
试、于一体的安全服务提供商。
 
 
5. 设置apache tomcat安全的字符串
 
 
防止黑客连接到服务器的8005端口来发送linux指令 比如:shutdown指令来恶意停止
 
 
tomcat的运行服务。打开 tomcat_home/conf/server.xml文件,设置一个复杂的账号密
 
码。
 
<Server port="8005" shutdown="复杂的密码(设置数字大小写字符16位以上的复杂密码
 
)">  防止黑客碰撞或者猜测密码。
上一篇:Centos7下Docker搭建Matomo(基于 PHP5+MySQL 技术构建的开源网站访问统计系统)


下一篇:拥抱Kubernetes,再见了Spring Cloud