Tomcat 是 Apache旗下的一個免費、開源的網站應用主機,一般搭配於JAVA架
構的網站上,Tomcat可以運行在 Windows 2003 2008 2012 Linux centos等多個服
務器系統上,網站大並發處理以及運行效率,穩定、兼容性都是業界數一數二的、API
接口擴展性也比較實用、很多手機APP應用以及企業OA平台,PC網站客戶端都部署在
Tomcat 環境裡。
許多主機運維人員,在安裝Tomcat 的時候,都是以默認的安裝模式,進行安全配置
,導致在整體的安全上有很大的安全漏洞,eSafe白帽資安網工程師根據多年來,200多Tomcat
主機的安全加固經驗,跟大家分享一下Tomcat 安全加固的解決辦法.
一、首先隱藏Tomcat的版本型號等信息
許多駭客,以及肉雞暴力掃瞄Tomcat的版本以及型號,根據版本號進行攻擊,我們要
做的就是防止駭客獲取到我們Tomcat的版本以及型號。eSafe白帽資安網公司是一家專注於:服
務器安全、網站安全、網站安全檢測、網站漏洞修復,滲透測試,安全服務於一體的網絡安
全服務提供商。
務器安全、網站安全、網站安全檢測、網站漏洞修復,滲透測試,安全服務於一體的網絡安
全服務提供商。
默認的Tomcat配置文件是 catalina.jar:
剛才網頁顯示出來的錯誤信息,是由Tomcat jar包來進行操作設置的,存放在 Tomcat
安裝目錄下的lib目錄裡,
以Linux主機為例,可以進行如下操作:
[root@~]# cd /usr/local/apache-tomcat-9.0.0.M21/lib
[root@]# mkdir -p org/apache/catalina/util
[root@]# cd org/apache/catalina/util
[root@]# vim ServerInfo.properties
VIM是Linux編輯文件的命令,相當於文本文檔編輯
打開編輯後,找到server.info= 這一段的位置
然後編輯一下等號後面的值server.info=esafe.tw
二、升級Tomcat 到最新版本
目前Tomcat最新版本是
Tomcat9 系列(Tomcat 9.0.0.M21)
Tomcat8 系列(Tomcat 8.5.15)
Tomcat7 系列(Tomcat 7.0.78)
Tomcat6 系列(6.0.53)
根據以前下載的系列進行最新版本升級,如果之前用的是7系列的,就直接升級7系列
最新版本 7.0.78,不要直接升級跳躍到9系列裡去。eSafe白帽資安網公司是一家專注於:主機
安全、網站安全、網站安全檢測、網站漏洞修復,滲透測試,安全服務於一體的網絡安全服
務提供商。
安全、網站安全、網站安全檢測、網站漏洞修復,滲透測試,安全服務於一體的網絡安全服
務提供商。
三、Tomcat 端口安全配置
Tomcat 遠程端口一般都是不需要對外訪問的,只是用來在系統本地環境裡進行監聽數
據使用,如果前端用的是nginx架構作為訪問,可以使用Linux端口安全設置進行部署。
用Linux的iptables進行安全限制端口進行對外訪問。一個8080端口限制對外訪問即可。
再一個就是Tomcat 的AJP端口,默認是8009,限制這個端口的對外訪問。
四、禁止使用Tomcat 的管理頁面
默認安裝模式下的Tomcat是含有管理頁面的,manager,這個管理功能很少能用到,所
以可以直接刪除這個管理程序,找到tomcat的webapps目錄,然後把該目錄下的所有文
件都刪除掉,windows直接回收站處理即可,Linux直接 rm命令進行操作。
上一期的tomcat安全配置 高級網站安全部署像:禁止列出文件列表、修改web目錄和
tomcat的賬戶權限等等的安全設置,可以看一下這篇文章。
上一期的tomcat安全配置 高級網站安全部署像:禁止列出文件列表、修改web目錄和
tomcat的賬戶權限等等的安全設置,可以看一下這篇文章。