tomcat环境,在网站安全中占据着非常重要的一个角色,没有tomcat环境,那么网站也
无法的正常打开与运行,然而tomcat的安全问题主要表现在两个方面,一个是由于tomcat
架设环境部署的时候,错误的一些配置导致安全发生,再一个是tomcat的版本问题导致的漏
洞发生。本文由SINE安全团队,针对tomcat网站的安全设置与防护方法而写。
关于tomcat的版本,关于tomcat最新的版本在tomcat的官方也有介绍,一般出现新的版本就会
在官方网站中立即更新出,针对于旧版本出现的漏洞以及安全问题,都将会在apache tomcat
新版本中修复与加固。
在官方网站中立即更新出,针对于旧版本出现的漏洞以及安全问题,都将会在apache tomcat
新版本中修复与加固。
就好比当前网站使用的是tomcat 5.5.28版本,对应的这个版本存在tomcat 漏洞,作为网站的安
全运维人员应该去tomcat官方找到tomcat 5.5系列的最新版本,比如5.5.30,下载补丁包进行升
级,升级后会自动修复之前版本存在的漏洞问题。apache tomcat官方对于版本的升级,以及漏
洞都会及时的升级并通知。具体的安全通知页面是:http://tomcat.apache.org/security.html
全运维人员应该去tomcat官方找到tomcat 5.5系列的最新版本,比如5.5.30,下载补丁包进行升
级,升级后会自动修复之前版本存在的漏洞问题。apache tomcat官方对于版本的升级,以及漏
洞都会及时的升级并通知。具体的安全通知页面是:http://tomcat.apache.org/security.html
那么在架设apache tomcat环境的时候,我们该怎样去分配运行的权限呢?
apache tomcat的运行权限,不要用系统的管理员账号权限去运行,像windows 2008系统的
administrator权限,以及linux centos系统的root权限,要新建一个tomcat安全专用的一个账号,分
配给这个账户最低的权限,读写执行权限即可,对应的就是tomcat的文件夹里的读写权限,不要
给其他文件夹。再一个就是tomcat的管理账号密码,一定要设置的复杂一些,数字+字母+特殊字
符组合,8位以上,设置权限禁止远程登录LINUX服务器。
administrator权限,以及linux centos系统的root权限,要新建一个tomcat安全专用的一个账号,分
配给这个账户最低的权限,读写执行权限即可,对应的就是tomcat的文件夹里的读写权限,不要
给其他文件夹。再一个就是tomcat的管理账号密码,一定要设置的复杂一些,数字+字母+特殊字
符组合,8位以上,设置权限禁止远程登录LINUX服务器。
tomcat安全配置
tomcat环境部署完毕后,要删除根目录下的一些默认文件夹:CATALINA_HOME文件夹下的
webapps文件,里面所包含的所有文件都删除掉,为什么删除呢?这个文件夹里包含了默认
的配置信息,以及示范网站,默认的用户账号密码,以及tomcat的配置信息都有,所以为了
安全起见都要强制的删除掉,以免后患。
webapps文件,里面所包含的所有文件都删除掉,为什么删除呢?这个文件夹里包含了默认
的配置信息,以及示范网站,默认的用户账号密码,以及tomcat的配置信息都有,所以为了
安全起见都要强制的删除掉,以免后患。
还要删除manager的管理页面,一般java网站的安全运行,不需要manager管理登录,所以删除
即可,有些网站需要manager那么就要设置好账号密码为复杂的密码,在tomcat-user.xml配置文
件里进行修改。
即可,有些网站需要manager那么就要设置好账号密码为复杂的密码,在tomcat-user.xml配置文
件里进行修改。
tomcat 管理模式分4个模式 允许网站html形式访问,允许网站使用txt文本文档模式访问,允许
api JMX接口安全访问,允许tomcat环境以只读的模式进行访问.以上的一些安全设置与防护,
是基础的安全设置办法,后期会介绍一些接口模式方面的安全配置。
api JMX接口安全访问,允许tomcat环境以只读的模式进行访问.以上的一些安全设置与防护,
是基础的安全设置办法,后期会介绍一些接口模式方面的安全配置。