tomcat環境,在網站安全中佔據著非常重要的一個角色,沒有tomcat環境,那麼網站也
無法的正常打開與運行,然而tomcat的安全問題主要表現在兩個方面,一個是由於tomcat
架設環境部署的時候,錯誤的一些配置導致安全發生,再一個是tomcat的版本問題導致的漏
洞發生。本文由eSafe白帽資安網團隊,針對tomcat網站的安全設置與防護方法而寫。
關於tomcat的版本,關於tomcat最新的版本在tomcat的官方也有介紹,一般出現新的版本就會
在官方網站中立即更新出,針對於舊版本出現的漏洞以及安全問題,都將會在apache tomcat
新版本中修復與加固。
在官方網站中立即更新出,針對於舊版本出現的漏洞以及安全問題,都將會在apache tomcat
新版本中修復與加固。
就好比當前網站使用的是tomcat 5.5.28版本,對應的這個版本存在tomcat 漏洞,作為網站的安
全運維人員應該去tomcat官方找到tomcat 5.5系列的最新版本,比如5.5.30,下載補丁包進行升
級,升級後會自動修復之前版本存在的漏洞問題。apache tomcat官方對於版本的升級,以及漏
洞都會及時的升級並通知。具體的安全通知頁面是:http://tomcat.apache.org/security.html
全運維人員應該去tomcat官方找到tomcat 5.5系列的最新版本,比如5.5.30,下載補丁包進行升
級,升級後會自動修復之前版本存在的漏洞問題。apache tomcat官方對於版本的升級,以及漏
洞都會及時的升級並通知。具體的安全通知頁面是:http://tomcat.apache.org/security.html
那麼在架設apache tomcat環境的時候,我們該怎樣去分配運行的權限呢?
apache tomcat的運行權限,不要用系統的管理員賬號權限去運行,像windows 2008系統的
administrator權限,以及linux centos系統的root權限,要新建一個tomcat安全專用的一個賬號,分
配給這個賬戶最低的權限,讀寫執行權限即可,對應的就是tomcat的文件夾裡的讀寫權限,不要
給其他文件夾。再一個就是tomcat的管理賬號密碼,一定要設置的複雜一些,數字+字母+特殊字
符組合,8位以上,設置權限禁止遠程登錄LINUX主機。
administrator權限,以及linux centos系統的root權限,要新建一個tomcat安全專用的一個賬號,分
配給這個賬戶最低的權限,讀寫執行權限即可,對應的就是tomcat的文件夾裡的讀寫權限,不要
給其他文件夾。再一個就是tomcat的管理賬號密碼,一定要設置的複雜一些,數字+字母+特殊字
符組合,8位以上,設置權限禁止遠程登錄LINUX主機。
tomcat安全配置
tomcat環境部署完畢後,要刪除根目錄下的一些默認文件夾:CATALINA_HOME文件夾下的
webapps文件,裡面所包含的所有文件都刪除掉,為什麼刪除呢?這個文件夾裡包含了默認
的配置信息,以及示範網站,默認的用戶賬號密碼,以及tomcat的配置信息都有,所以為了
安全起見都要強制的刪除掉,以免後患。
webapps文件,裡面所包含的所有文件都刪除掉,為什麼刪除呢?這個文件夾裡包含了默認
的配置信息,以及示範網站,默認的用戶賬號密碼,以及tomcat的配置信息都有,所以為了
安全起見都要強制的刪除掉,以免後患。
還要刪除manager的管理頁面,一般java網站的安全運行,不需要manager管理登錄,所以刪除
即可,有些網站需要manager那麼就要設置好賬號密碼為複雜的密碼,在tomcat-user.xml配置文
件裡進行修改。
即可,有些網站需要manager那麼就要設置好賬號密碼為複雜的密碼,在tomcat-user.xml配置文
件裡進行修改。
tomcat 管理模式分4個模式 允許網站html形式訪問,允許網站使用txt文本文檔模式訪問,允許
api JMX接口安全訪問,允許tomcat環境以只讀的模式進行訪問.以上的一些安全設置與防護,
是基礎的安全設置辦法,後期會介紹一些接口模式方面的安全配置。
api JMX接口安全訪問,允許tomcat環境以只讀的模式進行訪問.以上的一些安全設置與防護,
是基礎的安全設置辦法,後期會介紹一些接口模式方面的安全配置。
