| Tomcat服务默认启用了管理后台功能,使用该后台可直接上传 war 文件包对站点进行部署和管理。若是疏忽,可能致使管理后台存在空口令或者弱口令的漏洞,使得黑客或者不法分子能够利用该漏洞直接上传 Webshell 脚本致使服务器沦陷。 |
一般 Tomcat 后台管理的 URL 地址为 http://iP:8080/manager/html/html
黑客经过猜解到的口令登陆 Tomcat 管理后台后,能够上传 Webshell 脚本致使服务器被入侵。linux
安全加固方案web
因为此类型漏洞可能对业务系统形成比较严重的危害,建议您针对 Tomcat 管理后台进行如下安全加固配置。shell
1. 网络访问控制apache
2. 开启 Tomcat 的访问日志tomcat
修改 conf/server.xml 文件,将下列代码取消注释:安全
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>
启用访问日志功能,重启 Tomcat 服务后,在 tomcat_home/logs 文件夹中就能够看到访问日志。服务器
3. Tomcat 默认账号安全网络
修改 Tomcat 安装目录 conf 下的 tomcat-user.xml 文件,从新设置复杂口令并保存文件。重启 Tomcat 服务后,新口令即生效。app
4. 修改默认访问端口
修改 conf/server.xml 文件把默认的 8080 访问端口改为其它端口。
5. 重定向错误页面
修改访问 Tomcat 错误页面的返回信息,在 webapps\manger 目录中建立相应的401.html、404.htm、500.htm 文件,而后在 conf/web.xml 文件的最后一行以前添加下列代码:
<error-page> <error-code>401</error-code> <location>/401.htm</location> </error-page> <error-page> <error-code>404</error-code> <location>/404.htm</location> </error-page> <error-page> <error-code>500</error-code> <location>/500.htm</location> </error-page>
6. 禁止列出目录
防止直接访问目录时因为找不到默认页面,而列出目录下的文件的状况。
在 web.xml 文件中,将<param-name>listings</param-name>改为<param-name>false</param-name>。
7. 删除文档和示例程序
删除 webapps 目录下的 docs、examples、manager、ROOT、host-manager 文件夹。
本文地址:https://www.linuxprobe.com/tomcat-secure-configure.html