tomcat是一個開源Web服務(wù)器，基于Tomcat的Web運(yùn)行效率高，可以在一般的硬件平臺上流暢運(yùn)行，因此，頗受Web站長的青睞。不過，在默認(rèn)配置下其存在一定的安全隱患，可被惡意攻擊。以下是一些安全加固的方法：

版本安全

 升級到最新穩(wěn)定版，出于穩(wěn)定性考慮，不建議進(jìn)行跨版本升級。

服務(wù)降權(quán)

不要使用root用戶啟動tomcat，使用用普通用戶啟動Tomcat，集群內(nèi)用戶名統(tǒng)一UID

端口保護(hù)

1 更改tomcat管理端口8005 ，此端口有權(quán)限關(guān)閉tomcat服務(wù)，但要求端口配置在8000~8999之間，并更改shutdown執(zhí)行的命令
2 若 Tomcat 都是放在內(nèi)網(wǎng)的，則針對 Tomcat 服務(wù)的監(jiān)聽地址都是內(nèi)網(wǎng)地址
3 修改默認(rèn)的ajp 8009端口為不易沖突（大于1024），但要求端口配置在8000~8999之間

禁用管理端

1 刪除默認(rèn)$CATALINA_HOME/conf/tomcat-users.xml文件，重啟tomcat將會自動生成新的文件
2 刪除$CATALINA_HOME/webapps下載默認(rèn)的所有目錄和文件
3 將tomcat應(yīng)用根目錄配置為tomcat安裝目錄以外的目錄

隱藏Tomcat的版本信息

針對該信息的顯示是由一個jar包控制的，該jar包存放在$CATALINA_HOME/lib目錄下，名稱為 catalina.jar，
通過 jar xf 命令解壓這個 jar 包會得到兩個目錄 META-INF 和 org ,
修改 org/apache/catalina/util/ServerInfo.properties 文件中的 serverinfo 字段來實(shí)現(xiàn)來更改我們tomcat的版本信息

關(guān)閉war自動部署

默認(rèn) Tomcat 是開啟了對war包的熱部署的。為了防止被植入木馬等惡意程序，因此我們要關(guān)閉自動部署。

修改實(shí)例：

   <Host name="localhost" appBase=""
           unpackWARs="false" autoDeploy="false">

自定義錯誤頁面

編輯conf/web.xml，在</web-app>標(biāo)簽上添加以下內(nèi)容：

<error-page>  <error-code>404</error-code>  <location>/404.html</location></error-page><error-page>  <error-code>500</error-code>  <location>/500.html</location></error-page>

屏蔽目錄文件自動列出

編輯conf/web.xml文件

<servlet>    <servlet-name>default</servlet-name>    <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>    <init-param>      <param-name>debug</param-name>      <param-value>0</param-value>    </init-param>    <init-param>      <param-name>listings</param-name>      <param-value>false</param-value>    </init-param>    <load-on-startup>1</load-on-startup>  </servlet> <param-value>false</param-value>

這里false為不列出，true為充許列出

多虛擬主機(jī)

強(qiáng)烈建議不要使用 Tomcat 的虛擬主機(jī)，推薦每個站點(diǎn)使用一個實(shí)例。即，可以啟動多個 Tomcat，而不是啟動一個 Tomcat 里面包含多個虛擬主機(jī)。
因?yàn)?Tomcat是多線程，共享內(nèi)存，任何一個虛擬主機(jī)中的應(yīng)用崩潰，都會影響到所有應(yīng)用程序。雖然采用多實(shí)例的方式會產(chǎn)生過多的開銷，但至少保障了應(yīng)用程序的隔離和安全。