前言:
此刻看官们对“nginx配置ajp转发”大概比较讲究,姐妹们都需要学习一些“nginx配置ajp转发”的相关文章。那么小编在网上网罗了一些关于“nginx配置ajp转发””的相关内容,希望各位老铁们能喜欢,各位老铁们一起来学习一下吧!前言
Linux下tomcat部署比较简单,只要下载jdk、tomcat包,直接解压,配置一下JAVA_HOME就可以使用了。但是做到安全就不容易了。
下面是总结了几点的安全配置。
低权限用户运行
很多管理员都是很习惯的,直接使用root用户运行tomcat程序,但是我们一般前端还有nginx做转发,不需要在80端口下运行(Linux下80端口需要root用户才能启用),所以不需要root用户就可以运行了。
如果没有使用nginx作为前端进行转发的,建议还是加上nginx吧!
应用部署目录权限
应用目录的权限,运行用户一般不需要有部署目录的写权限,一般只要读跟执行权限(目录需要执行才能读取里面的内容)就可以了,所以应用部署目录可以跟运行用户分开。
删除默认目录
安装完tomcat后,默认的应用目录是在$CATALINA_HOME/webapps,默认带有很多tomcat的版本信息,这些信息暴露,黑客攻击起来就比较有针对性。
rm -rf /usr/local/apache-tomcat/webapps/*
关闭自动部署
tomcat部署代码的时候,建议关闭自动部署。在$CATALINA_HOME/conf/server.xml中的host字段,修改unpackWARs="false" autoDeploy="false"。
禁止用户管理
不需要通过web部署应用,建议注释或删除tomcat-users.xml下用户权限相关配置
禁止列出目录内容
在高版本的tomcat中已经禁用了列出目录 ,部署的时候还是得检查一下。
检查web.xml
隐藏tomcat版本信息
第一种方法 :
修改$CATALINA_HOME/conf/server.xml,在Connector节点添加server字段
第二种方法:
修改$CATALINA_HOME/lib/catalina.jar::org/apache/catalina/util/ServerInfo.properties,
默认情况下如图:
可以自定义修改server.info字段和server.number字段,如图:
自定义错误页面
修改web.xml,自定义40x、50x等容错页面,防止信息泄露。
启用cookie的HttpOnly属性
修改$CATALINA_HOME/conf/context.xml,添加<Context useHttpOnly="true">,如下图所示
测试一下:
AJP端口管理
apache一般会用ajp协议进行转发,nginx也有人实现这个协议--nginx_ajp_module,但是一般还是使用proxy到服务端口的模式,所以不用到可以关闭这个端口。
总结
这些是自己遇到,总结的一些安全配置,还有其他的建议吗?
标签: #nginx配置ajp转发