[转帖] Tomcat安全配置小技巧

原贴地址：https://cloud.tencent.com/developer/article/1146827

1.版本：应该从Tomcat官方提供的下载页面下载最新稳定版本，注意不要下载beta版本。Tomcat官网地址为：

http://tomcat.apache.org/

2.使用非root启动:Tomcat禁止以系统root账户启动，需新建普通用户用于启动Tomcat。检查tomcat启动进程账户可以通过ps aux | grep tomcat命令查看。

直接使用非root用户启动tomcat，适用tomcat5/6/7/8，只能监听1024以上的端口，如8080。操作方案步骤如下：

第一步：新建用户

useradd tomcat

第二步：修改tomcat目录属主并赋予权限

chown -R tomcat:tomcat apache-tomcat-*

chmod -R 770 apache-tomcat-*

注：apache-tomcat-* 为tomcat目录名。

第三步：启动tomcat

切换到系统普通用户tomcat去启动tomcat，启动前确保该tomcat已经停止。

cd apache-tomcat-*/bin/

su tomcat

./startup.sh

启动成功后，可以看到tomcat现在已经以tomcat用户权限运行，如下图所示：

该方案的弊端是非root权限只能监听大于1024的端口，所以若想tomcat监听80/443端口并对外，则需要使用iptables或apache/nginx作转发。如iptables规则为：

iptables -A FORWARD -p tcp --destination-port 443 -jACCEPT

iptables -t nat -A PREROUTING -j REDIRECT -p tcp--destination-port 443 --to-ports 8443

iptables -A FORWARD -p tcp --destination-port 80 -jACCEPT

iptables -t nat -A PREROUTING -j REDIRECT -p tcp--destination-port 80 --to-ports 8080

3.删除默认页面:删除tomcat/webapps/目录下的所有文件及目录。目前已知webapps有以下目录：

Tomcat/webapps/docs/

tomcat/webapps/examples/

tomcat/webapps/host-manager/

tomcat/webapps/manager/

tomcat/webapps/ROOT/

4.目录浏览:Tomcat服务器不允许目录遍历，以防止泄漏系统信息及服务器信息。配置项在tomcat/webapps/conf/web.xml文件中，具体配置为：

<param-name>listings</param-name><param-value>false</param-value>注：默认配置为禁止目录浏览

效果截图如下：

5.Tomcat日志记录:编辑server.xml配置文件，确保在<HOST>标签中有记录日志功能，配置如下：

<valve classname=”org.apache.catalina.valves.AccessLogValve”Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt”Pattern=”common” resloveHosts=”false”/>注：默认tomcat已经开启日志记录功能

6.启动安全模式:为了限制脚本的访问权限，防范webshell木马，建议启动时增加安全参数启动，如采用如下方式启动Tomcat

Tomcat/bin/startup.sh -security

注：该选项可以极大的提高web服务器的安全性，但是可能会导致程序因权限不足运行出错的问题，请业务斟酌使用。

7.禁止显示错误信息:Tomcat在程序执行失败时会有错误信息提示，可能泄漏服务器的敏感信息，需要关闭错误提示信息。可以通过指定错误页面的方式不将错误信息显示给用户，修改tomcat/conf/web.xml,增加如下配置项：

<error-page><error-code>500</error-code><location>/500.jsp</location></error-page>注：可以根据需要自行增加相应的错误码，常见的如500，404等，location选项为指定跳转的页面，该jsp文件需要自己生成。

8.删除jspx文件解析:Tomcat默认是可以解析jspx文件格式的后缀，解析jspx给服务器带来了极大的安全风险，若不需要使用jspx文件，建议删除对jspx的解析，具体操作为修改conf/web.xml文件：将如下代码注释掉：

<url-pattern>*.jspx</url-pattern>

9.文件目录权限配置:Web目录和文件属主不能与tomcat启动用户属主相同。如tomcat是以tomcat账号权限启动，则web文件和目录的属组必须是非tomcat账号。

Web目录权限统一设置为755，web文件权限统一设置为644。只有上传目录这类可读可写目录权限统一设置为777 。

本文分享自微信公众号 - 腾讯云安全（TencentCloudSecurity）

原文出处及转载信息见文内详细说明，如有侵权，请联系 yunjia_community@tencent.com 删除。

原始发表时间：2014-08-01

本文参与腾讯云自媒体分享计划，欢迎正在阅读的你也加入，一起分享。