這次的安全加固，Tomcat是重災(zāi)區(qū)。所以整理下Tomcat的安全加固。

創(chuàng)新互聯(lián)專注于企業(yè)營銷型網(wǎng)站、網(wǎng)站重做改版、尚義網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、H5頁面制作、商城建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、外貿(mào)網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計(jì)等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為尚義等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

1. 升級到最新穩(wěn)定版，這個是老生常談了。目前Tomcat支持6.0和7.0兩個版本。

1) 出于穩(wěn)定性考慮，不建議進(jìn)行跨版本升級，如果之前是6.0系列版本，最好還是使用該系列的最新版本。

2) 在統(tǒng)計(jì)目錄部署最新的Tomcat，將conf目錄下的文件和webapp復(fù)制過來，之后修改server.xml，修改監(jiān)聽端口進(jìn)行測試，無誤后關(guān)閉Tomcat并改回端口。接下來就可以在發(fā)布的時候停止舊的Tomcat并開啟新的Tomcat，至此升級完畢。

2. 從監(jiān)聽端口上加固

1) 如果Tomcat不需要對外提供服務(wù)，則監(jiān)聽在本地回環(huán)，前面放Nginx。如果需要對外提供訪問，比如一個Nginx掛多個Tomcat，那么在服務(wù)器上用iptables只允許負(fù)載均衡器的IP來訪問

2) 現(xiàn)在我們一般不用Apache通過AJP協(xié)議來調(diào)用Tomcat了，所以AJP端口可以關(guān)閉。

3) 在新版的Tomcat中，SHUTDOWN端口默認(rèn)就是監(jiān)聽在127.0.0.1的，所以不需要修改。如果還想加固，那可以把SHUTDOWN換成其它的字符串。

3. 自定義錯誤頁面，隱藏Tomcat信息

編輯conf/web.xml，在標(biāo)簽上添加以下內(nèi)容：

    404
    /404.html


    500
    /500.html

4. 禁用Tomcat管理頁面

1) 刪除webapps目錄下Tomcat原有的所有內(nèi)容

2) 刪除conf/Catalina/localhost/下的host-manager.xml和manager.xml這兩個文件

5. 用普通用戶啟動Tomcat

useradd -M -s /bin/false tomcat
chown -R tomcat.tomcat /usr/local/src/apache-tomcat-6.0.37
su - tomcat -c "/usr/local/src/apache-tomcat-6.0.37/bin/catalina.sh start"

6. 禁止Tomcat列目錄

這在新版本中默認(rèn)就是禁用的，可以在conf/web.xml中編輯

    listings
    false

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

本文題目：Tomcat安全加固-創(chuàng)新互聯(lián)
URL鏈接：http://weahome.cn/article/dosgih.html