一、开启tomcat管理端

[root@web01 /app/tomcat/conf]# cat tomcat-users.xml

<?xml version='1.0' encoding='utf-8'?>

<tom  ca  http://tomcat.apache.org/xml"

           

xmlns:xsi="http://www.w3.o      

 Location="http://tomc users.xsd"

         version="1.0">

    < role rolename="manager-gui"/>

<role rolena me="host-gui"/>

      r username="tomcat" password="tomcat"

   

     gui,manager-gui,host-gui"/>

</tomcat-users>

重启tomcat后即可登陆tomcat管理端。

二、 修改telnet shutdown端口 

1.修改默认的 8005 管理端口为不易猜 测的端口（大于 1024）；

2.修改 SHUTDOWN 指令为其他字符 串； 

3.以上配置项的配置内容只是建议配置，可以按照服务实际情况进行合理配置，但要求端口配置在 8000~8999 之 间；

  进行修改

<Server port="8527" shutdown="dangerous">

三、禁用管理端 

1. 删除默认的 {Tomcat 安装目 录}/conf/tomcat-use rs.xml 文件，重启 tomcat 后将会自动 生成新的文件；
2. 删除{Tomcat 安 装目录}/webapps 下 默认的所有目录和 文件；

3.将 tomcat 应用根 目录配置为 tomcat 安装目录以外的目 录；

4、对于前段 web 模块，Tomcat 管理端属于tomcat 的高危安全隐患，一旦被攻破，黑客通过上传 web shell 的方式将会直接取得服务器的控制权，后果极其严重；

 进行修改

<Context path="" docBase="/home/work/local/tomcat_webapps" debug="0" reloadable="false" crossContext="true"/>

删除conf目录下的tomcat-users.xml
删除webapps目录下默认的所有目录和文件
将tomcat网站目录配置在安装目录以外的目录

四、监牢模式

1.tomcat 启动用户权限必须为非 root 权限，尽量降低 tomcat启动用户的目录访问权限；
2.如需直接对外使用80 端口，可通过普通账号启动后，配置iptables 规则进行转发；

3、 避免一旦 tomcat 服 务被入侵，黑客直接获取高级用户权限危害整个server的安全；

五、ajp连接端口保护

Apache JServ协议1.3版(简称ajp13)是一个二进制的TCP传输协议，相比当前HTTP这种纯文本协议来说它的效率和性能更加高效，然而，目前的浏览器并不能直接支持ajp13，就连目前非常火爆的nginx也没有相应的模块能支持ajp。按照官方的说法就是如果你使用的是apache，而Apache的proxy_ajp模块进行反向代理能大大提高动静分离的性能（说白了就是仅对Apache有用）。如果你用得不是apache那就趁早这样设置吧： 

 

六、文件列表访问控制

tomcat的访问控制相当于nginx的autoindex功能，编辑conf目录下的web.xml文件，设置为true则开启：

1.conf/web.xml 文件中 default 部分listings 的配置必须为 false；

2.false 为不列出目录文件，true 为允许列出，默认为false；

修改

<init-param><param-name>listings</param-name>
<param-value>false</param-value></init-param>

七、隐藏版本号

1.修改conf/web.xml，重定向 403、404 以 及 500 等错误到指定的错误页面；
2.也可以通过修改应用程序目录下的WEB-INF/web.xml下的配置进行错误页面的重定向；

3.在配置中对一些常见错误进行重定向，避免当出现错误时 tomcat 默认显示的错误页面暴露服务器和版本信息；必须确保程序根目录下的错误页面已经存在；

修改

<error-page>
<error-code>403</error-code>
<location>/forbidden.jsp</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/notfound.jsp</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/systembusy.jsp</location>
</error-page>

在server.xml添加

 

 

 

 

 

 

 

https://blog.csdn.net/nmb_jiang/article/details/106158447