Tomcat web服务器优化

2018年3月5日17:09:53 发表评论 2,531 views
摘要

本文主要介绍,关于tomcat web服务,做为中间件的一些优化内容【安全、性能、权限等等】

广告也精彩

tomcat主要作为中间件在架构中出现,目前我们使用LNMJ的架构,tomcat用来处理动态请求,处理速度快,但是占用资源大,这只懒猫,想要跑得快就要给条大鱼,否则会影响主机性能

下面简单介绍下这次优化的内容

按照CIS-Tomcat7最新基线标准进行中间件层面基线检测

注意:禁止root登陆项请谨慎操作,禁止登陆后root账号不能直接等

1、检查项: tomcat进程运行权限检测

路径: /application/tomcat
当前值: 0
加固建议: 请创建低权限的账号运行tomcat

2、检查项: 开启用户登录失败锁定

路径: /application/tomcat/conf/server.xml
当前值:
加固建议: <Realm className="org.apache.catalina.realm.LockOutRealm" failureCount="3" lockOutTime="600" cacheSize="1000" cacheRemovalWarningTime="3600">

3、检查项: 限制远程管理IP

路径: /application/tomcat/conf/server.xml
当前值:

加固建议: 增加<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="允许远程管理IP"/>`

4、检查项: 禁止显示异常调试信息

路径: /application/tomcat/conf/web.xml
当前值:
加固建议: 在当前web.xml里面的web-app添加子节点:<error-page><exception-type>java.lang.Throwable</exception-type><location>/error.jsp</location></error-page>,在webapps目录下创建error.jsp,定义自定义错误信息

5、检查项: 开启传输层安全属性

路径: /application/tomcat/webapps/manager/WEB-INF/web.xml
当前值:
加固建议: 在当前路径的web.xml里面的web-app添加子节点:<security-constraint> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee></user-data-constraint> </security-constraint>

6、检查项: 开启安全周期生命监听器

路径: /application/tomcat/conf/server.xml
当前值:
加固建议: 取消 <Listener className="org.apache.catalina.security.SecurityListener" /> 注释

7、检查项: 示例文件检测

路径: /application/tomcat/
当前值: /application/tomcat/webapps/examples
加固建议: 请删除检测出的示例文件或目录

8、检查项: tomcat目录权限检测

路径: /application/tomcat/
当前值: root

加固建议: 使用chown -R tomcat:tomcat "根目录"修改tomcat根目录文件所有者

9、检查项: 禁止自动部署

路径: /application/tomcat/conf/server.xml
当前值: Host:autoDeploy=true

加固建议: 将autoDeploy="false"

10、检查项: 禁止应用运行在提权模式

路径: /application/tomcat/webapps/manager/META-INF/context.xml
当前值: Context:privileged=true

加固建议: 将privileged="false"

11、检查项: 禁止应用运行在提权模式

路径: /application/tomcat/webapps/host-manager/META-INF/context.xml
当前值: Context:privileged=true

加固建议: 将privileged="false"

12、检查项: 设置http大小 (默认为4096)

路径: /application/tomcat/conf/server.xml
当前值: maxHttpHeaderSize

加固建议: 对检测出的Connector增加属性:maxHttpHeaderSize="8192"

13、检查项: 监听端口业务协议配置检测

路径: /application/tomcat/conf/server.xml
当前值: 8080

加固建议: 为该监听端口配置scheme="http"或"https"属性

14、检查项: 监听端口业务协议配置检测

路径: /application/tomcat/conf/server.xml
当前值: 8009

加固建议: 为该监听端口配置scheme="http"或"https"属性

15、检查项: 使用UserDatabaseRealm检测(认证机制)

路径: /application/tomcat/conf/server.xml
当前值: org.apache.catalina.realm.UserDatabaseRealm

加固建议: 建议关闭UserDatabaseRealm使用
"优化是需要持续做的一件事",所以没有最好,只有更好,如有问题,欢迎大家留言,谢谢,记得点赞。
  • QQ精品交流群
  • weinxin
  • 微信公众号
  • weinxin
广告也精彩
admin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: