1.版本:
应该从Tomcat官方提供的下载页面下载最新稳定版本,注意不要下载beta版本。Tomcat官网地址为:
http://tomcat.apache.org/
2.使用非root启动:Tomcat禁止以系统root账户启动,需新建普通用户用于启动Tomcat。检查tomcat启动进程账户可以通过ps aux | grep tomcat命令查看。
直接使用非root用户启动tomcat,适用tomcat5/6/7/8,只能监听1024以上的端口,如8080。操作方案步骤如下:
第一步:新建用户useradd tomcat
第二步:修改tomcat目录属主并赋予权限chown -R tomcat:tomcat apache-tomcat-*chmod -R 770 apache-tomcat-*
注:apache-tomcat- 为tomcat目录名。
第三步:启动tomcat
切换到系统普通用户tomcat去启动tomcat,启动前确保该tomcat已经停止。
`cd apache-tomcat-/bin/<br />su tomcat<br />./startup.sh<br />启动成功后,可以看到tomcat现在已经以tomcat用户权限运行,如下图所示:<br /><br />该方案的弊端是非root权限只能监听大于1024的端口,所以若想tomcat监听80/443端口并对外,则需要使用iptables或apache/nginx作转发。如iptables规则为:<br />iptables -A FORWARD -p tcp —destination-port 443 -jACCEPT<br />iptables -t nat -A PREROUTING -j REDIRECT -p tcp—destination-port 443 —to-ports 8443<br />iptables -A FORWARD -p tcp —destination-port 80 -jACCEPT<br />iptables -t nat -A PREROUTING -j REDIRECT -p tcp—destination-port 80 —to-ports 8080<br />**3.删除默认页面:**删除tomcat/webapps/目录下的所有**文件**及目录。目前已知webapps有以下目录:<br />Tomcat/webapps/docs/<br />tomcat/webapps/examples/<br />tomcat/webapps/host-manager/<br />tomcat/webapps/manager/<br />tomcat/webapps/ROOT/`
4.目录浏览:Tomcat服务器不允许目录遍历,以防止泄漏系统信息及服务器信息。配置项在tomcat/conf/web.xml文件中,具体配置为:
效果截图如下:
5.Tomcat日志记录:编辑server.xml配置文件,确保在
6.启动安全模式:为了限制脚本的访问权限,防范webshell木马,建议启动时增加安全参数启动,如采用如下方式启动Tomcat
Tomcat/bin/startup.sh -security
注:该选项可以极大的提高web服务器的安全性,但是可能会导致程序因权限不足运行出错的问题,请业务斟酌使用。
7.禁止显示错误信息:Tomcat在程序执行失败时会有错误信息提示,可能泄漏服务器的敏感信息,需要关闭错误提示信息。可以通过指定错误页面的方式不将错误信息显示给用户,修改tomcat/conf/web.xml,增加如下配置项:
8.删除jspx文件解析:Tomcat默认是可以解析jspx文件格式的后缀,解析jspx给服务器带来了极大的安全风险,若不需要使用jspx文件,建议删除对jspx的解析,具体操作为修改conf/web.xml文件:将如下代码注释掉:
9.文件目录权限配置:Web目录和文件属主不能与tomcat启动用户属主相同。如tomcat是以tomcat账号权限启动,则web文件和目录的属组必须是非tomcat账号。
Web目录权限统一设置为755,web文件权限统一设置为644。只有上传目录这类可读可写目录权限统一设置为777 。
若有收获,就点个赞吧
0 人点赞
