tomcat的安全配置:
1、当Tomcat完成安装后你首先要做的事情如下:复制
首次安装完成后立即删除webapps下面的所有代码 rm -rf /srv/apache-tomcat/webapps/* 注释或删除 tomcat-users.xml 所有用户权限,看上去如下:
cat conf/tomcat-users.xml
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users> </tomcat-users>
2、隐藏tomcat版本 01.首先找到这个jar包,$TOMCAT_HOME/lib/catalina.jar 02.解压catalina.jar之后按照路径\org\apache\catalina\util\ServerInfo.properties找到文件 03.打开ServerInfo.properties文件修改如下:把server.number、server.built置空 server.info=Apache Tomcat server.number= server.built= 04.重新打成jar包,重启tomcat。 3、隐藏tomcat 的服务类型 conf/server.xml文件中,为connector元素添加server=" ",注意不是空字符串,是空格组成的长度为1的字符串,或者输入其他的服务类型,这时候,在response header中就没有server的信息啦! 4、应用程序安全 关闭war自动部署 unpackWARs="false" autoDeploy="false"。防止被植入木马等恶意程序 5、修改服务监听端口 一般公司的 Tomcat 都是放在内网的,因此我们针对 Tomcat 服务的监听地址都是内网地址
