Tomcat-安全加固/安全基线

加固前请对系统业务运行的服务、端口等信息进行摸查及评估，并在测试机先行测试，加固不规范，老板扔炸弹。

版本控制

8版本以前已经停止更新，不建议使用

Tomcat下载地址： https://archive.apache.org/dist/tomcat/

关闭web管理页面

将部署 Tomcat 目录下 webapps 下与业务代码无关的文件夹全部删除

修改tomcat默认账号

如果前面管理界面关了，那这个当我没说。

如果非开这个管理页面不可，那就把默认账户修改掉咯，修改掉/Tomcat目录/conf中tomcat-users.xml默认用户，例如把Tomcat用户改成nginx，再设置一个自己都记不住的密码🙂。

不使用root用户启动

使用普通用户启动

隐藏Tomcat版本号

1. 进入 /tomcat目录/lib找到catalina.jar

2. 解压：jar xf catalina.jar

3. 进入org/apache/catalina/util 编辑ServerInfo.properties

4. 删除后重新将文件打包成jar

jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties

5. 重启tomcat

6. 检验：

curl IP:port | grep "Apache Tomcat"

这里说一个恐怖的事情，加固到后面有可能不知道用了什么版本。

删除示例文档

删除webapps目录下的示例：

docs、examples、host-manager、manager、ROOT

禁止列出目录

安装目录下，conf文件夹中，web.xml，将listings改成false

设置安全cookie

编辑/tomcat目录/conf/context.xml,新增<Context useHttpOnly="true">

禁用shutdown

编辑/tomcat目录/conf/server.xml ,将默认8005端口改为“-1”或更改shutdown命令，防止被恶意远程重启。

禁用AJP端口（需确认业务是否使用）

编辑/tomcat目录/conf/server.xml，将AJP端口改为-1

关闭热部署

编辑server.xml中的host项中，修改autoDeploy="false"

禁用非法Http方法（按需设置）

如果前置nginx的话，在nginx做也行，看你喜欢，做之前要看应用系统是否有用到这些http方法。

conf文件夹中，web.xml

xml
<security-constraint>
<web-resource-collection>
<web-resource-name>fortune</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>

## 修改默认端口号

tomcat目录下的conf目录，找到server.xml文件。

xml
<Connector port="8080" protocol="HTTP/1.1" 
connectionTimeout="20000" 
redirectPort="8443" />