1.telnet管理端口保护
修改默认的8005管理端口
修改SHUTDOWN指令为其他字符
2. ajp连接端口保护
修改默认的8009端口
3. 禁用管理端
删除默认的{Tomcat安装目录}/conf/tomcat-users.xml文件,
重启tomcat后将会自动生成新的文件;
删除{Tomcat安装目录}/webapps下默认的所有目录和文件;
4. 降权启动
tomcat启动用户权限必须为非root权限,尽量降低tomcat启动用户的目录访问权限;
su 普通用户 -c '/usr/local/tomcat/bin/startup.sh' //利用不同用户启动tomcat
5.文件列表访问控制
.conf/web.xml文件中default部分listings的配置必须为false;
6. 版本信息隐藏
修改conf/web.xml,重定向403、404以及500等错误到指定的错误页面
在HTTP Connector配置中加入server的配置
7. Server header重写
在HTTP Connector配置中加入server的配置; (server=webapps)改为其他
8. 访问限制
通过配置,限定访问的ip来源
9. 起停脚本权限回收
去除其他用户对Tomcat的bin目录下shutdown.sh、startup.sh、catalina.sh的可执行权限;
10.访问日志格式规范
开启Tomcat默认访问日志中的Referer和User-Agent记录