如何預防後臺被攻擊?下面有幾個關於Tomcat 的安全配置的小妙招!
Tomcat作爲一款常用的應用服務器,是可以滿足多數場景的安全需求,但是在安全要求較高的情況下,仍需要從多個方面進行配置,已防止Tomcat管理後臺被攻擊等風險。
1、刪除用不到的自帶應用
Tomcat安裝完以後,在Webapps目錄下面會有一些默認文件夾,
docs: Tomcat的本地說明文檔,可刪。
examples: 是Tomcat相關的demo示例,可刪。
ROOT: 是Tomcat默認頁,可刪。
host-manager和manager: 用於管理及監控tomcat容器,如果使用第三方工具管理了或者根本用不到,那就直接刪除吧。
2、隱藏8080端口並更換默認目錄
1)打開tomcat目錄/conf/server.xml 文件,找到下圖位置,將端口號修改爲80
2)在Host 的位置添加代碼:<Context path="" docBase="api_fonts" debug="0"/>
docBase爲項目名稱。默認位置在api_fonts
3、刪除不使用的組件
Tomcat 的 server.xml配置了一個HTTP連接器(8080)和一個AJP連接器(8009),實際上絕大多數情況下,只需要一個連接器。如果Tomcat不存在前置的web服務器,此時可以保留HTTP而刪除AJP連接器。
4、禁用自動部署
在默認情況下,Tomcat是自動部署的,只要是在webapps目錄下的war包均會在Tomcat啓動時自動部署,包括被植入的惡意web應用。要避免惡意的web應用自動啓動,可以考慮從兩個方面解決:
1)修改web應用部署目錄爲其他路徑(詳情參考第2種方式),這樣攻擊者很難找到正確的部署目錄並部署web應用;
2)禁用自動部署,將server.xml配置文件中Host元素的autoDeploy和deployOnStartup屬性設置爲false,此時只有通過context標籤部署web應用。
5、降權啓動tomcat
tomcat 我們都是默認使用root權限啓動,但是在linux機器中,root權限是最高的,所以如果被入侵併獲得root權限,後果不堪設想。因此,將啓動用戶權限設爲非root。應單獨爲Tomcat服務器創建一個用戶,並且授予運行應用服務器所需的最小系統權限。