Tomcat安全基础

说完了Apache的,再说下Tomcat的,思想和Apache差不多。

一:软件版本

Jdk 版本,Tomcat 版本,这个很重要,据悉6.0.x有些Bug连最新的版本也没fixed掉。由于目前tomcat8还没有稳定版,比较先进的是tomcat7,如想使用websocket的功能,需要安装jdk7或以上版本做为运行环境。Tomcat版本的补丁安全报告见:http://tomcat.apache.org/security.html

另外,不管是 Apache 还是 Tomcat ,系统版本也很重要,如有漏洞安全问题需及时更新补丁或其它对策。

二:用户权限

运行 Tomcat 的用户不能有太大的权限,但 Tomcat 没有 Apache 一样的配置项指定运行的用户组,所以需要建立一个应用用户运来安装与运行 Tomcat。不能使用 root 用户到安装(解压)与启动(startup.sh) Tomcat。

1
2
group add tomcatgroup
useradd -g tomcatgroup tomcat -p tomcat
阅读更多

Apache一些安全问题小结

每次装Apache,总是有一大堆条例配置来看,总结下心得。

一:软件版本、修改服务器

Apache 貌似高高危的漏洞不是太多,但还是安装最新版本比较好,安装前,可以对版本号进行隐藏:

  1. 方法是在 make 之前,用 vim 编辑 ap_release.h 文件,
  2. 找到 #define AP_SERVER_BASEPRODUCT “Apache”
  3. Apache 修改为其它字符串,比如”abc server”

这样,在响应头中,就看不到服务器信息了。

二:用户权限

一般来说,Apache都是root用户安装运行。但不能让Apache具有root权限,如果是用root用户安装的话,需要专门为Apache建立一个单独的用户或用户组

1
2
groupadd apachegroup
useradd -g apachegroup apache -p apache

再修改httpd.conf

1
2
User apache
Group apachegroup

修改后,以root用户重启apache时,子进程会自动以apache身份运行

阅读更多