Tomcat安全加固方案(Linux)
一、Tomcat版本安全
在不升级大版本的情况下,升级到最新稳定版本。
1.Tomcat6.x:该版本已经于2016年12月31日停止支持,最新稳定版本为6.0.53,下载地址:/dist/tomcat/tomcat-6/v6.0.53/bin/ 由于该版本不再更新,建议如果条件允许,还是更新版本至Tomcat7.0.94,Tomcat6漏洞列表页面:/security-6.html。
2.Tomcat7.x:直接升级至最新稳定版本Tomcat7.0.94,下载地址:mirrors.tuna.tsinghua.edu/apache/tomcat/tomcat-7/v7.0.94/bin/,漏洞列表页面:/security-7.html。
二、Tomcat服务降权
不使用root用户启动Tomcat,使用普通用户启动(所有操作均在root用户下)。
1.创建普通用户hcy-manager,用户密码为Hcycom123$%^,命令如下:
groupadd -g 9916 hcy-manager
useradd -u 9916 -g hcy-manager -s /usr/sbin/nologin hcy-manager
2.修改Tomcat目录文件用户权限,命令如下:
chown -R hcy-manager:hcy-manager apache-tomcat-6.0.53
chown -R hcy-manager:hcy-manager apache-tomcat-7.0.94
查看目录用户权限,验证是否修改成功
3.修改Tomcat目录文件读写运行权限,命令如下:
chmod -R 700 apache-tomcat-6.0.53
chmod -R 700 apache-tomcat-7.0.94
查看目录读写权限,验证是否修改成
4.hcy-manager用户启动Tomcat(以Tomcat6为例,Tomcat7操作相同)
tomcat虚拟主机怎么设置修改bin目录下的startup.sh和shutdown.sh文件,命令如下:
mv startup.sh startup_.sh
mv shutdown.sh shutdown_.sh
在bin目录下新建startup.sh和shutdown.sh文件,标黄部分自行替换,文件内容如下:
# startup.sh
#!/bin/bash
usermod -s /bin/bash hcy-manager
su - hcy-manager -c /opt/apache-tomcat-6.0.53/bin/startup_.sh
usermod -s /sbin/nologin hcy-manager
# startup.sh
#!/bin/bash
usermod -s /bin/bash hcy-manager
su - hcy-manager -c /opt/apache-tomcat-6.0.53/bin/shutdown_.sh
usermod -s /sbin/nologin hcy-manager
再次执行2、3步骤,然后使用root用户执行startup.sh和shutdown.sh进行启动和停止,结果如下:
三、Tomcat端口保护
Tomcat默认启动三个端口,8080、8005、8009,8080是默认访问端口,8005是shutdown端口,8009是AJP端口,如下图:
1.修改默认8080端口
修改l文件
修改前:
修改后:
2.关闭shutdown的8005端口
修改l文件
修改前:
修改后:
3.关闭AJP的8009端口
修改l文件
修改前:
修改后:
4.验证查看
重启Tomcat,查看默认端口已消失,只能查看到修改后的应用端口
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论