龙空技术网

Linux-tomcat部署,注意几点安全配置

linux运维菜 4711

前言:

此刻看官们对“nginx配置ajp转发”大概比较讲究,姐妹们都需要学习一些“nginx配置ajp转发”的相关文章。那么小编在网上网罗了一些关于“nginx配置ajp转发””的相关内容,希望各位老铁们能喜欢,各位老铁们一起来学习一下吧!

前言

Linux下tomcat部署比较简单,只要下载jdk、tomcat包,直接解压,配置一下JAVA_HOME就可以使用了。但是做到安全就不容易了。

下面是总结了几点的安全配置。

低权限用户运行

很多管理员都是很习惯的,直接使用root用户运行tomcat程序,但是我们一般前端还有nginx做转发,不需要在80端口下运行(Linux下80端口需要root用户才能启用),所以不需要root用户就可以运行了。

如果没有使用nginx作为前端进行转发的,建议还是加上nginx吧!

应用部署目录权限

应用目录的权限,运行用户一般不需要有部署目录的写权限,一般只要读跟执行权限(目录需要执行才能读取里面的内容)就可以了,所以应用部署目录可以跟运行用户分开。

删除默认目录

安装完tomcat后,默认的应用目录是在$CATALINA_HOME/webapps,默认带有很多tomcat的版本信息,这些信息暴露,黑客攻击起来就比较有针对性。

rm -rf /usr/local/apache-tomcat/webapps/*

关闭自动部署

tomcat部署代码的时候,建议关闭自动部署。在$CATALINA_HOME/conf/server.xml中的host字段,修改unpackWARs="false" autoDeploy="false"。

禁止用户管理

不需要通过web部署应用,建议注释或删除tomcat-users.xml下用户权限相关配置

禁止列出目录内容

在高版本的tomcat中已经禁用了列出目录 ,部署的时候还是得检查一下。

检查web.xml

隐藏tomcat版本信息

第一种方法 :

修改$CATALINA_HOME/conf/server.xml,在Connector节点添加server字段

第二种方法:

修改$CATALINA_HOME/lib/catalina.jar::org/apache/catalina/util/ServerInfo.properties,

默认情况下如图:

可以自定义修改server.info字段和server.number字段,如图:

自定义错误页面

修改web.xml,自定义40x、50x等容错页面,防止信息泄露。

启用cookie的HttpOnly属性

修改$CATALINA_HOME/conf/context.xml,添加<Context useHttpOnly="true">,如下图所示

测试一下:

AJP端口管理

apache一般会用ajp协议进行转发,nginx也有人实现这个协议--nginx_ajp_module,但是一般还是使用proxy到服务端口的模式,所以不用到可以关闭这个端口。

总结

这些是自己遇到,总结的一些安全配置,还有其他的建议吗?

标签: #nginx配置ajp转发