1、禁止自动部署
详细信息:配置自动部署容易被部署恶意或未经测试的应用程序,将其禁用。
处理方法:修改Tocmat目录下conf修改Tomcat目录下conf/server.xml,将host节点的autoDeploy="true",改为autoDeploy="false"
2、删除项目无关的文件和目录
详细信息:Tomcat安装提供了示例应用程序,文档和其他不可用于生产程序及目录,存在风险,建议删除。
处理方法:删除Tocmat示例程序和目录,管理控制台,即Tocmat根目录的webapps目录,移除或删除docs、examples、host删除Tomcat示例程序和目录,管理控制台,即Tomcat根目录的webapps目录,移除或删除docs、examples、host-manager、manager目录
3、Tocmat进程运行权限检测3、Tomcat进程运行权限检测
详细信息:运行Tocmat,尽量避免使用Root用户运行,降低攻击者拿到服务器控制权限的机会。运行Tomcat,尽量避免使用Root用户运行,降低攻击者拿到服务器控制权限的机会。
处理方法:
①创建低权限的账号运行Tomcat:
新增tomcat用户。
| 代码块 | ||
|---|---|---|
| ||
useradd tomcat |
②将tomcat用户owner改为tomcat
| 代码块 | ||
|---|---|---|
| ||
chown -R tomcat:tomcat /xxx/<Tocmat><Tomcat> |
③停止启动的的tomcat服务
④切换到tomcat用户
| 代码块 | ||
|---|---|---|
| ||
su - tomcat |
重新启动tomcat
| 代码块 | ||
|---|---|---|
| ||
/xxx/<Tocmat><Tomcat>/bin/startup.sh |
| 注意 |
|---|
注意:后续启动、修改等操作时请切换到tomcat用户 |
4、禁止显示异常调试信息
详细信息:当请求处理期间发生运行错误是,Tomcat将向请求着显示调试信息,建议不要显示此类调试信息。
处理方法:在Tomcat根目录下的conf/web.xml文件里的web-app添加子节点,参考如下
| 代码块 | ||
|---|---|---|
| ||
<exception-type>java.lang.Throwable</exception-type> <location>/error.html</location> </error-page> <error-page> <error-code>400</error-code> <location>/error.html</location> </error-page> <error-page> <error-code>404</error-code> <location>/error.html</location> </error-page> <error-page> <error-code>500</error-code> <location>/error.html</location> </error-page> |
在webapps/ROOT目录下创建error.html文件,定义错误信息提示。参考如下:
| 代码块 | ||
|---|---|---|
| ||
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"><head>
<title>网页访问失败</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<link rel="stylesheet" type="text/css" href="404/error_all.css?t=201303212934">
</head>
<body class="error-404">
<div id="doc_main">
<section class="bd clearfix">
<div class="module-error">
<div class="error-main clearfix">
<div class="label"></div>
<div class="info">
<h3 class="title">注意,您所访问的页面不存在!!</h3>
<div class="reason">
<p>可能的原因:</p>
<p>1.地址地址错误。</p>
<p>2.链接过了保质期。</p>
</div>
</div>
</div>
</div>
</section>
</div> |
