项目中需要对安全问题引起足够的重视,比如下列tomcat的安全问题容易被忽略:
server.xml默认有下面一行:
<Server port="8005" shutdown="SHUTDOWN">
这样允许任何人只要telnet到服务器的8005端口,输入"SHUTDOWN",然后回车,服务器立即就被关掉了。
从安全的角度上考虑,我们需要把这个shutdown指令改成一个别人不容易猜测的字符串。
例如修改如下:
<Server port="8006" shutdown="lizongbo">,这样就只有在telnet到8006,并且输入"lizongbo"才能够关闭Tomcat.
注意:这个修改不影响shutdown.bat的执行。运行shutdown.bat一样可以关闭服务器。
参考Tomcat安全文档英文链接:http://jakarta.apache.org/tomcat/faq/security.html#8005
还有两个问题需要注意:
1、 对于tomcat3.1中,屏蔽目录文件自动列出的方法是什么?
缺省情况下,如果你访问tomcat下的一个web应用,那么如果你输入的是一个目录名,而且该目录下没有一个可用的welcome文件,那么tomcat会将该目录下的所有文件列出来,如果你想屏蔽这个缺省行为,那么可以修改conf/web.xml文件,将其中的:
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
修改为:
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
2、 如何让Tomcat记录客户端的访问日志
下面是Tomcat相关手册中的介绍:
以下是引用来自 的内容:
Valve (功能与Logger差不多,其prefix和suffix属性解释和Logger 中的一样) className 指定Valve使用的类名,
如用org.apache.catalina.valves.AccessLogValve类可以记录应用程序的访问信息 directory 指定log文件存放
的位置 pattern 有两个值,common方式记录远程主机名或ip地址,用户名,日期,第一行请求的字符串,HTTP响
应代码,发送的字节数。combined方式比common方式记录的值更多
所以需要完成的步骤:
1。修改Tomcat的conf/server.xml文件。
2。加上Valve节点到server.xml文件中,和您目前使用的Connector的节点平级。
如:<Valve className="org.apache.catalina.valves.AccessLogValve"
directory="e:\trs\trscds\tomcat\logs" pattern="combined"/>
3。重新启动您的Tomcat
4。有用户在访问的时候,在指定的log目录下面会生成一个access_log文件(每天一个)。
上述的步骤是以Tomcat4.x为例。(可能会影响性能,不推荐大家使用)。
还有一个问题:需要处理好Tomcat管理台的安全。
Tomcat管理台的应用文件,默认在{Tomcat安装目录}\server\webapps下,有admin和manager两个应用。
其用户密码,在{Tomcat安装目录}\conf/tomcat-users.xml中定义。在{Tomcat安装目录}\webapps下
admin.xml和manager.xml文件定义了可以通过访问/admin和/manager进入。
默认情况下,完全可以登录tomcat管理台,造成严重安全问题
检测办法:用IE打开链接http://[IP]:[Port]/admin,以用户名admin,密码为空登录,如果成功,
说明存在问题。
解决办法:可以删除{Tomcat安装目录}\webapps下admin.xml和manager.xml文件,或者去掉用户密
码,也可以删除应用文件。
我们一个用户提到如果找不到网页即出现404错误,会显示服务器版本号,服务器配置也一目了然,
为了避免这种情况,希望自定义设置错误页面。
设置如下:
1、将附件的index.htm文件拷贝至\webapps\ROOT目录内,删除或改名原来的index.jsp文件。
2、用记事本打开\conf\web.xml文件,在文件的倒数第二行(</web-app>一行之前)加入以下内容:
<error-page>
<error-code>404</error-code>
<location>/index.htm</location>
</error-page>
分享到:
相关推荐
### Tomcat安全加固手册知识点详解 #### 一、Tomcat简介与重要性 Tomcat作为Apache软件基金会(Apache Software Foundation)Jakarta项目的核心组件之一,由Apache、Sun及其他多个机构和个人共同开发完成。得益于...
阿里云标准-Apache Tomcat 安全基线检查旨在帮助用户遵循安全基线,检查Tomcat的安全配置,确保Tomcat服务器的安全运行。 Tomcat 进程运行权限检测 在 Linux 系统中,Tomcat 服务器的进程权限非常重要。如果使用 ...
《tomcat安全加固手册》正是一份为了提升Tomcat服务器安全水平而编写的指南。 首先,手册强调了版本更新和补丁安装的重要性。在信息安全领域,保持软件更新是至关重要的一个环节,因为许多攻击手段都是针对已知漏洞...
设备其他安全要求可以帮助管理员快速定位和解决问题,提高Tomcat系统的安全性和可靠性。 在设备其他安全要求方面,需要遵循以下几点原则: 1. 定期检查和更新设备其他安全要求,避免设备其他安全要求过期或泄露。 ...
TOMCAT安全加固手册
### Tomcat安全管理规范—线上运行配置规范 #### 一、前言 随着互联网技术的不断发展,Web服务在企业中的应用越来越广泛。Tomcat作为一款开源的轻量级Web服务器,因其简单易用、稳定性强等特点而被众多企业采用。...
在安装Tomcat时,需要注意一些安全问题,例如,以普通用户身份安装Tomcat,而不是以root用户身份安装,以避免系统的安全隐患。另外,需要正确地配置环境变量,例如,设置JAVA_HOME、JRE_HOME、CLASSPATH等环境变量,...
然而,如同任何复杂的软件系统,Tomcat在运行过程中可能会遇到各种问题,需要我们有应对策略。以下是对"Tomcat常见问题及其解决方法"的详细解析。 一、启动问题 1. **启动失败**:这可能是由于JDK版本不兼容或者...
从提供的文件内容中,我们可以提炼出一系列关于Tomcat安全加固的关键知识点。这些知识点主要涉及到Tomcat的版本安全、服务降权、端口保护、管理程序禁用以及隐藏版本信息等方面。下面将详细展开这些知识点。 ### 一...
安全加固,Tomcat是重灾区。所以整理下Tomcat的安全加固。升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级.
【标题】"Tomcat安全与域名配置解析" 在IT行业中,Tomcat作为一款广泛应用的开源Java Servlet容器,其安全性及域名配置是运维人员必须掌握的关键技能。Tomcat的安全性直接影响到服务器上的应用和服务,而域名配置则...
#### 一、Tomcat安全配置概述 Apache Tomcat的安全配置主要涉及到以下几个方面:用户认证、访问控制、安全策略等。这些配置通常是在`conf`目录下的`tomcat-users.xml`和`web.xml`文件中完成的。 #### 二、用户认证...
【标题】:“Tomcat配置解决跨域问题” 在Web开发中,跨域(Cross-Origin)是一种常见的安全限制,它阻止浏览器从一个源加载资源到另一个不同的源。这主要是为了防止恶意脚本通过注入来窃取数据。然而,在进行前后...
2.2 更改权限:为了安全起见,通常会创建一个特定的用户和组(如`tomcat`)来运行Tomcat服务,然后将Tomcat目录的所有权更改为该用户。 2.2.1 配置Tomcat服务自启动:编写一个Systemd服务单元文件,如`/etc/systemd...
### Tomcat安全加固知识点详解 #### 一、Tomcat安全加固概述 Tomcat服务器作为Java Web应用的重要支撑平台,被广泛应用于各种Web站点之中。然而,出于安全性考虑,Tomcat默认的安全配置并不能满足高安全标准的需求...
Tomcat 系统安全配置基线 Tomcat 系统安全配置基线是指在 Tomcat 服务器中实施的一系列安全配置和设置,以确保系统的安全运行。该基线涵盖了账号管理、认证授权、日志审计等多个方面,旨在帮助管理员和开发者更好地...
https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置
而对于旧的项目,可能Tomcat 7就能满足需求,同时避免了升级带来的潜在问题。 总的来说,Tomcat作为一款流行的Java应用服务器,它的不同版本提供了不同的功能和优化,满足了不同阶段的开发需求。这个压缩包为用户...
此版本的Tomcat针对Windows和Linux操作系统进行了优化,确保在这些平台上运行的安全性和稳定性。 1. **Apache Tomcat简介** Apache Tomcat是一个轻量级的应用服务器,主要处理基于Java技术的Web应用。它是Apache...
3. **浏览补丁列表**:在上述页面中,你可以找到针对不同版本的Tomcat所发布的安全补丁列表及其详细信息,包括发布日期、影响范围、解决的问题等。 4. **下载补丁文件**:点击具体的补丁名称或版本号链接,进入补丁...