Tomcat 升级方案
一、版本升级
升级当前的tomcat版本为最新稳定版本。故名思议,最新稳定版本就要兼顾最新和稳定这两个概念。一个稳定的版本,是需要时间沉淀的,而最新又是相对于稳定版而言的最新。因此我们一般会选择当前大版本中,最新版本往前推几个版本或者往前推几个月出的版本。
目前,企业常用的tomcat大版本为6.0、7.0和8.0版本,9.0版本虽然已经出了很久了,但是仍然不建议使用。建议升级到7.0.68或8.0.32版本。 在升级版本中,需要注意的事情有两点:
1、尽量避免跨大版本的升级(跨版本升级需要同时升级系统JDK版本); 2、将当前老版本 tomcat 的server.xml、catalina.sh、web.xml和tomcat-users.xml文件进行备份,然后部署完新版本的 tomcat 之后,将这些配置文件覆盖过去即可,然后停掉旧版本,启动新版本即可完成升级操作。
二、隐藏版本信息
为了避免黑客针对某些版本进行攻击,因此我们需要隐藏或者伪装 Tomcat 的版本信息。
默认 Tomcat 的版本信息如下:
针对该信息的显示是由一个jar包控制的,该jar包存放在 Tomcat 安装目录下的lib目录下,名称为 catalina.jar。
我们可以通过 jar xf 命令解压这个 jar 包会得到两个目录 META-INF 和 org ,通过修改 org/apache/catalina/util/ServerInfo.properties 文件中的 serverinfo 字段来实现来更改我们tomcat的版本信息。 文件信息如下:
[root@localhost ~]# cat org/apache/catalina/util/ServerInfo.properties |grep -v '^$|#'
server.info=Apache Tomcat/7.0.53 server.number=7.0.53.0
server.built=Mar 25 2014 06:20:16
当然,还有另外一种方法来实现隐藏或伪装Tomcat的版本信息,不过本质和上面一样,操作如下:
[root@localhost ~]# cd /usr/local/apache-tomcat-7.0.53/lib [root@localhost lib]# mkdir -p org/apache/catalina/util [root@localhost lib]# cd org/apache/catalina/util [root@localhost util]# vim ServerInfo.properties server.info=nolinux #
如果想修改成其它版本号,把这个地方的值改成其它值就行了
修改完毕之后,重启 Tomcat即可看到效果! 效果如下:
三、关闭war自动部署
默认 Tomcat 是开启了对war包的热部署的。为了防止被植入木马等恶意程序,因此我们要关闭自动部署。 修改实例:
四、禁用 Tomcat 管理页面
我们线上是不使用 Tomcat 默认提供的管理页面的,因此都会在初始化的时候就把这些页面删掉。这些页面是存放在 Tomcat 安装目录下的webapps目录下的。 我们只需要删除该目录下的所有文件即可。
当然,还有涉及管理页面的2个配置文件 host-manager.xml 和 manager.xml 也需要一并删掉。这两个文件存放在 Tomcat 安装目录下的conf/Catalina/localhost目录下。
如果不禁用Tomcat管理页面可以优化tomcat-user.xml,该文件含有用户名、角色
以及密码的清单文件。负责提供webapps下manager项目的登录认证管理。 在生产环境中,我们一般需要将该文件全部注释。 注释效果如下:
五、用普通用户启动 Tomcat
为了进一步安全,我们不建议使用 root 来启动 Tomcat。这边建议使用专用用户 tomcat 或者 nobody 用户来启动 Tomcat。
在启动之前,需要对我们的tomcat 安装目录下所有文件的属主和属组都设置为指定用户
六、服务器安全建议
1.把现有的网上查询服务器系统打掉重新部署,彻底删除隐藏的恶意程序;
2.加强操作系统口令强度,并且开启系统自带防火墙; 3.网络架构增加安全设备,如UTM/IPS/WAF等。
