Tomcat优化

 

1.telnet管理端口保护

修改默认的8005管理端口

修改SHUTDOWN指令为其他字符

 

2. ajp连接端口保护

修改默认的8009端口

 

3. 禁用管理端

删除默认的{Tomcat安装目录}/conf/tomcat-users.xml文件，

重启tomcat后将会自动生成新的文件；

删除{Tomcat安装目录}/webapps下默认的所有目录和文件；

 

4. 降权启动

tomcat启动用户权限必须为非root权限，尽量降低tomcat启动用户的目录访问权限；

su 普通用户 -c '/usr/local/tomcat/bin/startup.sh' //利用不同用户启动tomcat

 

5.文件列表访问控制

.conf/web.xml文件中default部分listings的配置必须为false；

 

6. 版本信息隐藏

修改conf/web.xml，重定向403、404以及500等错误到指定的错误页面

在HTTP Connector配置中加入server的配置

 

7. Server header重写

在HTTP Connector配置中加入server的配置； （server=webapps）改为其他

 

8. 访问限制

通过配置，限定访问的ip来源

 

9. 起停脚本权限回收

去除其他用户对Tomcat的bin目录下shutdown.sh、startup.sh、catalina.sh的可执行权限；

 

10.访问日志格式规范

开启Tomcat默认访问日志中的Referer和User-Agent记录