tomcat安全加固
设置tomcat登录权限
1.修改控制台用户名密码,用户名testzaa密码test.aaa.com
修改tomcat-user.xml文件
html
<role
rolename=manager-gui/>
<user username=testz
password=test.123.com roles=manager-gui/>开启日志
2.开启日志审计功能,使用common日志格式,不进行反向解析
修改server.xml文件
html
<Valve className="org.apache.catalina.valves.AccessLogValve"
directory="logs" prefix=localhost_access_log.
suffix=.txt pattern=common
resolveHosts=false/>自定义404报错页面减少敏感信息泄露
3.重定义404错误页,定向到网站根目录下nofile.html
在网站根目录下创建nofile.html文件
修改web.xml文件中加入下列代码:
html
<error-page>
<error-code>404</error-code>
<location>/nofile.html</location>
</error-page>禁止目录遍历
4.禁止浏览器查看目录内容
确保web.xml文件中列表为false
html
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>禁用敏感方法
5.修改wdb.xml文件禁用危险的http方法,例如PUT,DELETE,DEAD,OPTIONS,TRACE
修改web.xml文件中添加内容
html
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config> 设置白名单
6.设置白名单限制IP源访问,只允许192.168.1.100访问
添加server.xml如下信息
html
<value className="org.apache.catalina.values.RemoteAddrValue"
allow="192.168.3.121 deny= />防止dos
7.修改server.xml文件设置连接超时300秒,最大线程400,等待队列500.
修改server.xml文件,如下内容
html
<Connector port=8080 protocol=HTTP/1.1
connectionTimeout="300
redirectPort="8443" acceptCount="500" maxThreads="400" /> 修改默认端口减少被扫描
- 修改server.xml文件,修改默认端口号为10808
修改server.xml文件,如下内容
html
<Connector port=10808 protocol=HTTP/1.1
connectionTimeout="300
redirectPort="8443" acceptCount="500" maxThreads="400" />