Tomcat优化实例详解
2019/05/17 14:15:45 来源:Linux社区 作者:Linux

tocat 安全优化

以下配置如无特别指明,默认为在/usr/local/tomcat8/conf/server.xml文件中配置

<Server port="8005" shutdown="SHUTDOWN">

修改默认端口和关闭web服务器的指令 该配置项测试后发现只能在本机telnet 127.0.0.1 8005使用,在别的机器报错,查了不少文档,不得其所,但还是建议修改

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

该端口作用就是apache负载均衡多台tomcat时使用,如不使用该环境可以将其整个注释掉 1.使用该环境时可以修改默认的8009端口为其它不容易冲突的端口 2.通过 iptables规则限制 ajp 端口访问的权限仅为线上机器;

[root@localhost ~]# rm -rf /usr/local/tomcat8/webapps/* && rm -rf /usr/local/tomcat8/conf/tomcat-users.xml

这些都是系统默认存在的一些安全隐患比较大的文件,很容易被黑客利用

1.tomcat 启动用户权限必须为非root,避免一旦tomcat服务被入侵,获取root权限 2.普通用户只能使用大于1024端口,如果要想使用80端口,可以使用 iptables规则进行转发,或者使用代理。一般情况下,tomcat前方有一个反向代理服务器nginx或者apache等。

[root@localhost ~]# useradd tomcat
#添加用户
[root@localhost ~]# groupadd tomcathome
#添加相应用户组(方便后续,开发、运维各部门的权限分配)
[root@localhost ~]# usermod -g tomcathome tomcat
#用户加入组
[root@localhost ~]# chown -R tomcat.tomcathome /usr/local/tomcat8/* 
给tomcat重新分配属组和属主
[root@localhost ~]# su - tomcat -c "/usr/local/tomcat8/bin/startup.sh"
#临时使用tomcat用户执行该命令
[root@localhost ~]# ps aux| grep tomcat
#查看验证可看到结果
[root@localhost qiao]# vim /usr/local/tomcat8/conf/web.xml 
 <init-param>
            <param-name>listings</param-name>
            <param-value>false</param-value>
        </init-param>
[root@localhost ~]# vim /usr/local/tomcat8/conf/web.xml 

  18 <web-app ......
  21                       
  23 <error-page>
  24     <error-code>404</error-code>
  25     <location>/404.html</location>
  26 </error-page>
  27 <error-page>
  28     <error-code>403</error-code>
  29     <location>/403.html</location>
  30 </error-page>
  31 <error-page>
  32     <error-code>500</error-code>
  33     <location>/500.html</location>
  34 </error-page>
#然后将错误页面的内容保存到相应的文件存放到/usr/local/tomcat8/webapps/ROOT/目录下。
[root@localhost ~]# vim /usr/local/tomcat8/conf/server.xml 
     <Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" 
               Server="join123" />
               #加入改行配置
配置只针对于本web应用程序生效
      <Host name="localhost"  appBase="webapps"
            unpackWARs="true" autoDeploy="true">
            <Context docbase="/web/webapp" path="" 
             defaultSessionTimeOut="200" isWARExpanded="true"
             isWARValidated="false" isInvokerEnabled="true" 
             isWorkDirPersistent="false">
            </Context>
#超时时间为200秒
针对于整个tomcat服务器的所有web应用
[root@localhost ~]# vim /usr/local/tomcat8/conf/web.xml 
    <session-config>
        <session-timeout>30</session-timeout>       
    </session-config>
#超时时间为30分钟

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-05/158710.htm


9

本栏最新