阅读量:79
以下是在Ubuntu上防止Tomcat被攻击的关键措施:
-
基础安全加固
- 以非root用户运行Tomcat,创建专用系统用户(如
tomcat)并限制权限。 - 删除
webapps目录默认示例应用,避免恶意代码部署。 - 修改默认端口(如HTTP从8080改为非标准端口),减少被扫描风险。
- 隐藏Tomcat版本信息,修改
server.xml或catalina.jar中的Server属性。
- 以非root用户运行Tomcat,创建专用系统用户(如
-
访问控制与认证
- 禁用不必要的管理界面(如
manager和host-manager),或限制其访问IP。 - 在
tomcat-users.xml中设置强密码,限制用户角色权限,避免使用高权限角色(如manager-script)。 - 启用账户锁定机制,防止暴力破解。
- 禁用不必要的管理界面(如
-
协议与加密
- 禁用AJP协议(若无需与Apache集成),在
server.xml中设置protocol="HTTP/1.1"。 - 启用HTTPS,配置SSL/TLS证书加密通信,使用有效证书并定期更新。
- 禁用AJP协议(若无需与Apache集成),在
-
日志与监控
- 配置详细日志记录(如访问日志、错误日志),定期分析异常请求(如频繁访问管理端口的IP)。
- 使用入侵检测系统(IDS)或Web应用防火墙(WAF,如ModSecurity)监控恶意流量。
-
权限与文件管理
- 确保应用部署目录权限归
tomcat用户所有,禁止其他用户写入。 - 禁用自动部署(
autoDeploy="false")和热部署(unpackWARs="false"),避免恶意代码自动执行。
- 确保应用部署目录权限归
-
系统级防护
- 使用
ufw或iptables配置防火墙,仅允许必要端口(如8080、8443)的访问。 - 定期更新Tomcat至最新版本,修复已知漏洞,关注官方安全公告。
- 使用
参考来源: