linux tomcat安全配置
刪除默認目錄
安裝完tomcat後,刪除$CATALINA_HOME/webapps下默認的所有目錄文件
rm -rf /srv/apache-tomcat/webapps/*
用戶管理
如果不需要通過web部署應用,建議註釋或刪除tomcat-users.xml下用戶權限相關配置
隱藏tomcat版本信息
修改$CATALINA_HOME/conf/server.xml,在Connector節點添加server字段
或
修改$CATALINA_HOME/lib/catalina.jar::org/apache/catalina/util/ServerInfo.properties
用戶可自定義修改server.info字段和server.number字段
關閉自動部署
如果不需要自動部署,建議關閉自動部署功能。
在$CATALINA_HOME/conf/server.xml中的host字段,修改unpackWARs="false" autoDeploy="false"。
自定義錯誤頁面
修改web.xml,自定義40x、50x等容錯頁面,防止泄露。
禁止列目錄(高版本默認已禁止)
修改web.xml
AJP端口管理
AJP是為 Tomcat 與 HTTP服務器之間通信而定制的協議,能提供較高的通信速度和效率。如果tomcat前端放的是apache的時候,會使用到AJP這個連接器。前端如果是由nginx做的反向代理的話可以不使用此連接器,因此需要註銷掉該連接器。
服務權限控制
tomcat以非root權限啟動,應用部署目錄權限和tomcat服務啟動用戶分離,比如tomcat以tomcat用戶啟動,而部署應用的目錄設置為nobody用戶750。
啟用cookie的HttpOnly屬性
修改$CATALINA_HOME/conf/context.xml,添加
配置cookie的secure屬性,在web.xml中sesion-config節點配置cooker-config,此配置只允許cookie在加密方式下傳輸。
linux tomcat安全配置