安全加固,Tomcat是重灾区。因此整理下Tomcat的安全加固。web
1. 升级到最新稳定版,这个是老生常谈了。目前Tomcat支持6.0和7.0两个版本。安全
1) 出于稳定性考虑,不建议进行跨版本升级,若是以前是6.0系列版本,最好仍是使用该系列的最新版本。服务器
2) 在统计目录部署最新的Tomcat,将conf目录下的文件和webapp复制过来,以后修改server.xml,修改监听端口进行测试,无误后关闭Tomcat并改回端口。接下来就能够在发布的时候中止旧的Tomcat并开启新的Tomcat,至此升级完毕。app
2. 从监听端口上加固负载均衡
1) 若是Tomcat不须要对外提供服务,则监听在本地回环,前面放Nginx。若是须要对外提供访问,好比一个Nginx挂多个Tomcat,那么在服务器上用iptables只容许负载均衡器的IP来访问webapp
|
<Connector port="8080" address="127.0.0.1"
maxHttpHeaderSize="8192" URIEncoding="UTF-8"
maxThreads="500" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" redirectPort="8443" acceptCount="100"
connectionTimeout="10000" disableUploadTimeout="true" />
|
2) 如今咱们通常不用Apache经过AJP协议来调用Tomcat了,因此AJP端口能够关闭。测试