Tomcat安全加固.pdf

Tomcat 安全加固 ■ 文档编号 ■ 密级 ■ 版本编号 ■ 日期 - 1 - TOMCAT 安全加固 1 1.1 说明3 1.2 补丁安装3 1.3 删除示例程序3 1.4 检查控制台口令3 1.5 设置SHUTDOWN 字符串4 1.6 设置运行身份4 1.7 禁止列目录5 1.8 日志审核5 1.9 自定义错误信息6 - 2 - 1.1 说明 本文基于Tomcat 6 编写，其他版本可能配置文件的位置与本文不同，请进行相应的修改。 本文未涉及的内容，请参考官方文档： /tomcat-6.0-doc/index.html 1.2 补丁安装 操作目的 安装新版本，修补漏洞 检查方法 查看tomcat 版本信息 加固方法 安装最新版tomat，/ 是否实施 备注 1.3 删除文档和示例程序 操作目的 删除文档和示例程序 检查方法 打开tomcat_home/webapps 文件夹，默认存在docs 和examples 文件 夹 加固方法 建议删除docs 和examples 文件夹 是否实施 备注 1.4 检查控制台口令 操作目的 加固tomcat 控制台，设置复杂的口令 检查方法 (1)默认通过http://ip:8080/manager/html 可以访问tomcat manager，如 果不需要使用，建议删除tomcat_home/webapps/manager 和 host-manager 文件夹； 默认通过http://ip:8080/admin 可以访问tomcat admin ，如果不需要使用， - 3 - 建议删除tomcat_home/webapps/admin 文件夹 (2)如果需要使用tomcat manager，打开 tomcat_home/conf/tomcat-users.xml，查看用户密码复杂度，例如： role rolename=manager/ user username=tomcat password=复杂的口令 roles=manager/ 加固方法 (1) 删除tomcat_home/webapps 下的相关文件夹 (2) 在tomcat-users.xml 中为所有用户设置复杂的密码 是否实施 备注 1.5 设置SHUTDOWN 字符串 防止恶意用户telnet 到8005 端口后，发送SHUTDOWN 命令停止 操作目的 tomcat 服务 检查方法 打开tomcat_home/conf/server.xml，查看是否设置了复杂的字符串 Server port=8005 shutdown=复杂的字符串 加固方法 设置复杂的字符串，防止恶意用户猜测 是否实施 备注 1.6 设置运行身份 操作目的 以tomcat 用户运行服务，