tomcat安全加固

本文基于阿里云https://help.aliyun.com/knowledge_detail/37421.html
本文基于

Apache Tomcat/7.0.79   

1、删除文档和示例程序
【操作目的】删除示例文档
【加固方法】删除webapps/docs、examples、manager、ROOT、host-manager
【是否实施】是
2、禁止列目录
【操作目的】防止直接访问目录时由于找不到默认页面而列出目录下的文件
【加固方法】打开web.xml,将 listings 改成 false
【是否实施】
3、禁止使用root用户运行
【操作目的】以普通用户运行,增加安全性
【加固方法】以admin用户运行tomcat程序
【是否实施】是
4、开启日志审核
【操作目的】检查tomcat的访问日志
【加固方法】独立运行的tomcat,修改conf/server.xml,取消注释
                   
                    prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/> 
                    启用access_log后,重启tomcat,在tomcat_home/logs中可以看到访问日志。
【是否实施】是
5、修改默认访问端口
【操作目的】修改默认的8080端口
【加固方法】conf/server.xml把8080改成任意端口
【是否实施】是
6、tomcat默认帐号安全
【操作目的】禁用tomcat默认帐号
【加固方法】conf/tomcat-user.xml中的所有用户的注释掉
                     
【是否实施】是
7、重定向错误页面
【操作目的】修改访问tomcat错误页面的返回信息
【加固方法】conf/web.xml在倒数第1行之前加
                           
                             401              
                             /401.htm          
                               
                         
                             404        
                             /404.htm          
                       
                         
                             500  
                             /500.htm      
                       
                    然后在webapps\ROOT目录中创建相应的401.html\404.htm\500.htm文件
【是否实施】是

 

你可能感兴趣的:(tomcat安全,tomact安全加固,java)