首页 » 应用安全 » Web 服务器 » Tomcat » 正文

Tomcat 6.0 常见加固

1,修改默认管理页面

默认安装的管理后台目录:/mannager/ 和 /host-manager/
删除,或者修改为无法猜测出来的目录,例如:/iskjjqlax/

2,删除样例目录

删除默认样例目录:/examples/,避免不必要的漏洞。

3,设置复杂口令

默认用户配置文件:Tomcat/conf/tomcat-users.xml
设置足够复杂的密码,以防暴力破解。


4,修改默认端口

默认端口配置文件:Tomcat/conf/server.xml
修改为非常见端口(例如:4843),降低风险。


5,禁止目录浏览

检查全局 conf/web.xml 以及部署应用的 web.xml 文件,如果存在 listing 参数,应设置为 false,如下:

<init-param>
    <param-name>listings</param-name>
    <param-value>false</param-value>
</init-param>

6,自定义错误页面

修改 conf/web.xml 文件,加入如下配置,将常见 HTTP 错误 403、404、500 重定向到 /error.html 页面上:

<error-page> 
	<error-code>403</error-code>
	<location>/error.html</location> 
</error-page>
<error-page> 
	<error-code>404</error-code>
	<location>/error.html</location> 
</error-page>
<error-page> 
	<error-code>500</error-code>
	<location>/error.html</location> 
</error-page>

7,设置 SHUTDOWN字符串

通过 8005 端口,可向 Tomcat 发送停止指令,而默认的指令为 SHUTDOWN。通过下面的设置将其修改为复杂的指令。

<Server port="8005" shutdown="复杂指令字符串">

 

PS:操作完成后重启服务,tomcat 7.0 8.0原理同上。

发表评论