Tomcat安全加固配置

Tomcat服務默認啓用了管理後臺功能，使用該後臺可直接上傳 war 文件包對站點進行部署和管理。若是疏忽，可能致使管理後臺存在空口令或者弱口令的漏洞，使得黑客或者不法分子能夠利用該漏洞直接上傳 Webshell 腳本致使服務器淪陷。

一般 Tomcat 後臺管理的 URL 地址爲 http://iP:8080/manager/html/

黑客經過猜解到的口令登陸 Tomcat 管理後臺後，能夠上傳 Webshell 腳本致使服務器被入侵。

安全加固方案

因爲此類型漏洞可能對業務系統形成比較嚴重的危害，建議您針對 Tomcat 管理後臺進行如下安全加固配置。

1. 網絡訪問控制

• 若是您的業務不須要使用 Tomcat 管理後臺管理業務代碼，直接將 Tomcat 部署目錄中 webapps 文件夾中的 manager、host-manager 文件夾所有刪除，並註釋 Tomcat 目錄中 conf 文件夾中的 tomcat-users.xml 文件中的全部代碼。
• 若是您的業務系統確實須要使用 Tomcat 管理後臺進行業務代碼的發佈和管理，建議爲 Tomcat 管理後臺配置強口令，並修改默認 admin 用戶，且密碼長度不低於10位，必須包含大寫字母、特殊符號、數字組合。

2. 開啓 Tomcat 的訪問日誌

修改 conf/server.xml 文件，將下列代碼取消註釋：

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"   
prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>

啓用訪問日誌功能，重啓 Tomcat 服務後，在 tomcat_home/logs 文件夾中就能夠看到訪問日誌。

3. Tomcat 默認賬號安全

修改 Tomcat 安裝目錄 conf 下的 tomcat-user.xml 文件，從新設置複雜口令並保存文件。重啓 Tomcat 服務後，新口令即生效。

4. 修改默認訪問端口

修改 conf/server.xml 文件把默認的 8080 訪問端口改爲其它端口。

5. 重定向錯誤頁面

修改訪問 Tomcat 錯誤頁面的返回信息，在 webapps\manger 目錄中建立相應的401.html、404.htm、500.htm 文件，而後在 conf/web.xml 文件的最後一行以前添加下列代碼：

<error-page>
<error-code>401</error-code>
<location>/401.htm</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/404.htm</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/500.htm</location>
</error-page>

6. 禁止列出目錄

防止直接訪問目錄時因爲找不到默認頁面，而列出目錄下的文件的狀況。

在 web.xml 文件中，將<param-name>listings</param-name>改爲<param-name>false</param-name>。

7. 刪除文檔和示例程序

刪除 webapps 目錄下的 docs、examples、manager、ROOT、host-manager 文件夾。

本文地址：https://www.linuxprobe.com/tomcat-secure-configure.html