阅读量:66
以下是在CentOS上防止Tomcat被攻击的关键措施:
- 用户与权限管理
- 创建专用用户运行Tomcat,避免使用root用户。
- 限制Tomcat用户权限,仅赋予必要权限。
- 隐藏版本信息
- 修改
server.xml或ServerInfo.properties文件,隐藏Tomcat版本号。
- 修改
- 关闭非必要服务与端口
- 禁用自动部署,在
server.xml中设置unpackWARs="false"和autoDeploy="false"。 - 修改默认端口(如8080→非标准端口),减少被扫描风险。
- 禁用自动部署,在
- 配置SSL/TLS加密
- 生成证书并配置
server.xml,启用HTTPS协议。
- 生成证书并配置
- 防火墙与访问控制
- 使用
firewalld或iptables限制Tomcat端口访问,仅允许可信IP。 - 禁用管理界面IP限制(如
RemoteAddrValve)或仅允许可信IP访问。
- 使用
- 安全加固与审计
- 启用详细日志记录,定期审计异常活动。
- 定期更新Tomcat及组件,应用官方安全补丁。
- 其他高级措施
- 配置安全管理器限制应用权限。
- 禁用目录列表,在
web.xml中设置listings="false"。
参考来源: