Tomcat 安全配置、管理规范整理

本贴最后更新于 251 天前,其中的信息可能已经事过景迁

参考:
Tomcat 安全管理规范:https://blog.csdn.net/wuxingge/article/details/116517777
tomcat 安全规范(tomcat 安全加固和规范):https://www.jb51.net/article/173899.htm
omcat 安全配置规范

以及个人从业经验

  以下是整理后的 Tomcat 安全管理配置规范,具体实施方法可以百度:

第 1 章:账号管理与认证授权

1.1 账号管理

  • 共享账号管理:避免不同用户间共享账号,确保每个用户有独立的账号。
  • 无关账号管理:删除或锁定与设备运行、维护无关的账号。

1.2 口令管理

  • 密码复杂度:密码长度至少 8 位,包含数字、小写字母、大写字母和特殊符号中的至少 2 类。
  • 密码历史:支持按天配置口令生存期,不长于 90 天。

1.3 用户权利指派

  • 根据用户业务需求,配置其所需的最小权限。

第 2 章:日志配置操作

2.1 日志配置

  • 审核登录:配置日志功能,记录用户登录信息,包括账号、登录成功与否、登录时间以及远程登录时的 IP 地址。

第 3 章:IP 协议安全配置

3.1 IP 协议

  • 支持加密协议:支持使用 HTTPS 等加密协议进行远程维护。

第 4 章:设备其他配置操作

4.1 安全管理

  • 定时登出:支持定时账户自动登出,用户需重新登录。
  • 更改默认端口:更改 Tomcat 服务器默认端口,避免使用默认端口。
  • 错误页面处理:自定义错误页面,避免显示敏感信息。
  • 目录列表访问限制:禁止 Tomcat 列出目录内容。

4.2 其他安全措施

  • 版本安全:升级到最新稳定版,避免跨版本升级。
  • 服务降权:使用普通用户启动 Tomcat,避免使用 root 用户。
  • 端口保护:更改管理端口和 AJP 端口,避免使用默认端口。
  • 禁用管理端:删除默认的 tomcat-users.xml​文件和 webapps​目录下的默认文件。
  • 隐藏 Tomcat 版本信息:修改 ServerInfo.properties​文件,隐藏版本信息。
  • 关闭 WAR 自动部署:关闭 Tomcat 的 WAR 包热部署功能。
  • 脚本权限回收:控制 CATALINA_HOME/bin​目录下的脚本文件权限。
  • 访问日志格式规范:开启访问日志中的 Referer 和 User-Agent 记录。
  • 访问限制:通过配置限定访问的 IP 来源。

附录:建议配置及标准执行方案

  • 配置文件:提供 server.xml​和 web.xml​的配置示例。
  • 删除默认文件:删除 webapps​和 conf/tomcat-user.xml​等默认文件。
  • 权限设置:修改 tomcat/bin​目录下的脚本文件权限,防止未授权的起停操作。

  请注意,这些规范是基于 Tomcat 6.*版本的,不同版本的 Tomcat 可能需要不同的配置方法。

  • Tomcat

    Tomcat 最早是由 Sun Microsystems 开发的一个 Servlet 容器,在 1999 年被捐献给 ASF(Apache Software Foundation),隶属于 Jakarta 项目,现在已经独立为一个顶级项目。Tomcat 主要实现了 JavaEE 中的 Servlet、JSP 规范,同时也提供 HTTP 服务,是市场上非常流行的 Java Web 容器。

    162 引用 • 529 回帖 • 1 关注

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...