tomcat安全加固

tomcat加固安全配置

1.禁止目录浏览

在web.xml中进行如下配置：

<param-name>listings</param-name>

<param-value>false</param-value>

 

2.开启tomcat日志记录，默认是开启的。

server.xml中配置：

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log" suffix=".txt"
pattern="%h %l %u %t &quot;%r&quot; %s %b" />

3.使用非root账号运行tomcat

新增新的用户tomcat，用来运行tomcat进程。ps -ef | grep tomcat时，用户不为root。

 

4.删除默认页面

以下是tomcat的默认文件路径，均需删除

/webapps/docs/

/webapps/examples/

/webapps/manager/

/webapps/host-manager/

/webapps/ROOT/

 

5.文件属主设置

tomcat进程若以tomcat账户运行，则脚本文件不能属于tomcat。文件权限不高于644，上传目录可以设置为666。