Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

tomcat 安全设置与安全防护设置策略



       tomcat环境,在网站安全中占据着非常重要的一个角色,没有tomcat环境,那么网站也

无法的正常打开与运行,然而tomcat的安全问题主要表现在两个方面,一个是由于tomcat

架设环境部署的时候,错误的一些配置导致安全发生,再一个是tomcat的版本问题导致的漏

洞发生。本文由SINE安全团队,针对tomcat网站的安全设置与防护方法而写。

 
 
关于tomcat的版本,关于tomcat最新的版本在tomcat的官方也有介绍,一般出现新的版本就会

在官方网站中立即更新出,针对于旧版本出现的漏洞以及安全问题,都将会在apache tomcat

新版本中修复与加固。

 
 
就好比当前网站使用的是tomcat 5.5.28版本,对应的这个版本存在tomcat 漏洞,作为网站的安

全运维人员应该去tomcat官方找到tomcat 5.5系列的最新版本,比如5.5.30,下载补丁包进行升

级,升级后会自动修复之前版本存在的漏洞问题。apache tomcat官方对于版本的升级,以及漏

洞都会及时的升级并通知。具体的安全通知页面是:http://tomcat.apache.org/security.html

 
 
那么在架设apache tomcat环境的时候,我们该怎样去分配运行的权限呢?
 
 
apache tomcat的运行权限,不要用系统的管理员账号权限去运行,像windows 2008系统的

administrator权限,以及linux centos系统的root权限,要新建一个tomcat安全专用的一个账号,分

配给这个账户最低的权限,读写执行权限即可,对应的就是tomcat的文件夹里的读写权限,不要

给其他文件夹。再一个就是tomcat的管理账号密码,一定要设置的复杂一些,数字+字母+特殊字

符组合,8位以上,设置权限禁止远程登录LINUX服务器。
 
tomcat安全配置
 
tomcat环境部署完毕后,要删除根目录下的一些默认文件夹:CATALINA_HOME文件夹下的

webapps文件,里面所包含的所有文件都删除掉,为什么删除呢?这个文件夹里包含了默认

的配置信息,以及示范网站,默认的用户账号密码,以及tomcat的配置信息都有,所以为了

安全起见都要强制的删除掉,以免后患。

 
 
还要删除manager的管理页面,一般java网站的安全运行,不需要manager管理登录,所以删除

即可,有些网站需要manager那么就要设置好账号密码为复杂的密码,在tomcat-user.xml配置文

件里进行修改。

 
 
tomcat 管理模式分4个模式 允许网站html形式访问,允许网站使用txt文本文档模式访问,允许

api JMX接口安全访问,允许tomcat环境以只读的模式进行访问.
以上的一些安全设置与防护,

是基础的安全设置办法,后期会介绍一些接口模式方面的安全配置。
分享: