tomcat安全加固

tomcat安全加固

设置tomcat登录权限

1.修改控制台用户名密码，用户名testzaa密码test.aaa.com
修改tomcat-user.xml文件

<role
rolename=manager-gui/>
<user username=testz
password=test.123.com roles=manager-gui/>

开启日志

2.开启日志审计功能，使用common日志格式，不进行反向解析
修改server.xml文件

<Valve className=“org.apache.catalina.valves.AccessLogValve”
directory=“logs” prefix=localhost_access_log.
suffix=.txt pattern=common
resolveHosts=false/>

自定义404报错页面减少敏感信息泄露

3.重定义404错误页，定向到网站根目录下nofile.html
在网站根目录下创建nofile.html文件
修改web.xml文件中加入下列代码：

<error-page>
<error-code>404error-code>
<location>/nofile.htmllocation>
error-page>

禁止目录遍历

4.禁止浏览器查看目录内容
确保web.xml文件中列表为false

<init-param>
           
<param-name>listingsparam-name>
           
<param-value>falseparam-value>
       
init-param>

禁用敏感方法

5.修改wdb.xml文件禁用危险的http方法，例如PUT,DELETE,DEAD,OPTIONS,TRACE
修改web.xml文件中添加内容

<security-constraint>     
   
<web-resource-collection>     
      
<url-pattern>/*url-pattern>     
      
<http-method>PUThttp-method>     
   
<http-method>DELETEhttp-method>     
    <http-method>HEADhttp-method>     
   
<http-method>OPTIONShttp-method>     
    <http-method>TRACEhttp-method>
   
web-resource-collection>     
      
<auth-constraint>     
      
auth-constraint>     
    security-constraint>     
    <login-config>     
       
<auth-method>BASICauth-method>     
    login-config>  

设置白名单

6.设置白名单限制IP源访问，只允许192.168.1.100访问
添加server.xml如下信息

<value className=“org.apache.catalina.values.RemoteAddrValue”
allow=”192.168.3.121 deny= />

防止dos

7.修改server.xml文件设置连接超时300秒，最大线程400，等待队列500.
修改server.xml文件，如下内容

<Connector port=8080 protocol=HTTP/1.1   
           connectionTimeout=”300   
           redirectPort=“8443” acceptCount=“500” maxThreads=“400” /> 

修改默认端口减少被扫描

8. 修改server.xml文件，修改默认端口号为10808
   修改server.xml文件，如下内容

<Connector port=10808 protocol=HTTP/1.1   
           connectionTimeout=”300   
           redirectPort=“8443” acceptCount=“500” maxThreads=“400” />