Linux服务器Tomcat安全配置

1. 删除Tomcat-users.xml目录下用户权限

rm -rf /srv/apache-tomcat/webapps/*

注释或删除 tomcat-users.xml 所有用户权限，看上去如下：

# cat conf/tomcat-users.xml<?xml version='1.0' encoding='utf-8'?><tomcat-users></tomcat-users>

2. 隐藏Tomcat版本信息

vim $CATALINA_HOME/conf/server.xml    <Connector port="80" protocol="HTTP/1.1"               connectionTimeout="20000"               redirectPort="8443"maxThreads="8192"minSpareThreads="64"maxSpareThreads="128"acceptCount="128"enableLookups="false"                server="Neo App Srv 1.0"/># curl -I http://localhost:8080/HTTP/1.1 400 Bad RequestTransfer-Encoding: chunkedDate: Thu, 20 Oct 2011 09:51:55 GMTConnection: closeServer: Neo App Srv 1.0

服务器信息已经被改为 Server: Neo App Srv 1.0

3. 关闭war自动部署

关闭war自动部署 unpackWARs="false" autoDeploy="false"。防止被植入木马等恶意程序

应用程序部署与tomcat启动,不能使用同一个用户。

4. 禁止使用目录索引

    对于可以访问的web目录，要使用相对保守的途径进行访问，不要让用户查看任何目录索引列表，修改conf/httpd.conf

 

4、 设置默认的错误页面

    网站中常见的404、500等错误在浏览器中会显示服务器的详细信息，很容易暴露一些敏感的信息，所以在实际部署中需要替换成更外的一些页面，当出现错误时，转向一个体验良好的界面。

打开conf/web.xml文件，在文件的最后添加如下类似的代码

 

同时在根目录下创建404.jsp和500.jsp文件

5、 屏蔽目录文件自动列出的方法

    和apache的原理类似，设置tomcat不显示目录列表，在tomcat的conf/web.xml中，进行以下配置