1、禁止自动部署
详细信息:配置自动部署容易被部署恶意或未经测试的应用程序,将其禁用。
处理方法:修改Tomcat目录下conf/server.xml,将host节点的autoDeploy="true",改为autoDeploy="false"
2、删除项目无关的文件和目录
详细信息:Tomcat安装提供了示例应用程序,文档和其他不可用于生产程序及目录,存在风险,建议删除。
处理方法:删除Tomcat示例程序和目录,管理控制台,即Tomcat根目录的webapps目录,移除或删除docs、examples、host-manager、manager目录
3、Tomcat进程运行权限检测
详细信息:运行Tomcat,尽量避免使用Root用户运行,降低攻击者拿到服务器控制权限的机会。
处理方法:
①创建低权限的账号运行Tomcat:
新增tomcat用户。
useradd tomcat
②将tomcat用户owner改为tomcat
chown -R tomcat:tomcat /xxx/<Tomcat>
③停止启动的的tomcat服务
④切换到tomcat用户
su - tomcat
重新启动tomcat
/xxx/<Tomcat>/bin/startup.sh
注意:后续启动、修改等操作时请切换到tomcat用户
4、禁止显示异常调试信息
详细信息:当请求处理期间发生运行错误是,Tomcat将向请求着显示调试信息,建议不要显示此类调试信息。
处理方法:在Tomcat根目录下的conf/web.xml文件里的web-app添加子节点,参考如下
<exception-type>java.lang.Throwable</exception-type> <location>/error.html</location> </error-page> <error-page> <error-code>400</error-code> <location>/error.html</location> </error-page> <error-page> <error-code>404</error-code> <location>/error.html</location> </error-page> <error-page> <error-code>500</error-code> <location>/error.html</location> </error-page>
在webapps/ROOT目录下创建error.html文件,定义错误信息提示。参考如下:
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"><head>
<title>网页访问失败</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<link rel="stylesheet" type="text/css" href="404/error_all.css?t=201303212934">
</head>
<body class="error-404">
<div id="doc_main">
<section class="bd clearfix">
<div class="module-error">
<div class="error-main clearfix">
<div class="label"></div>
<div class="info">
<h3 class="title">注意,您所访问的页面不存在!!</h3>
<div class="reason">
<p>可能的原因:</p>
<p>1.地址地址错误。</p>
<p>2.链接过了保质期。</p>
</div>
</div>
</div>
</div>
</section>
</div>
