Tomcat 是 Apache旗下的一個免費、開源的網站應用主機，一般搭配於JAVA架

 

構的網站上，Tomcat可以運行在 Windows 2003 2008 2012   Linux centos等多個服

 

務器系統上，網站大並發處理以及運行效率，穩定、兼容性都是業界數一數二的、API

 

接口擴展性也比較實用、很多手機APP應用以及企業OA平台，PC網站客戶端都部署在

 

Tomcat 環境裡。

 

許多主機運維人員，在安裝Tomcat 的時候，都是以默認的安裝模式，進行安全配置

 

，導致在整體的安全上有很大的安全漏洞，eSafe白帽資安網工程師根據多年來，200多Tomcat

 

 主機的安全加固經驗，跟大家分享一下Tomcat 安全加固的解決辦法.

 

 

一、首先隱藏Tomcat的版本型號等信息

 

許多駭客，以及肉雞暴力掃瞄Tomcat的版本以及型號，根據版本號進行攻擊，我們要

 

做的就是防止駭客獲取到我們Tomcat的版本以及型號。eSafe白帽資安網公司是一家專注於：服

務器安全、網站安全、網站安全檢測、網站漏洞修復,滲透測試,安全服務於一體的網絡安

全服務提供商。

 

默認的Tomcat配置文件是 catalina.jar：

 

剛才網頁顯示出來的錯誤信息，是由Tomcat jar包來進行操作設置的，存放在 Tomcat

安裝目錄下的lib目錄裡，

 

以Linux主機為例，可以進行如下操作：

 

[root@~]# cd /usr/local/apache-tomcat-9.0.0.M21/lib

 

[root@]#  mkdir -p org/apache/catalina/util

 

[root@]# cd org/apache/catalina/util

 

[root@]# vim ServerInfo.properties

 

VIM是Linux編輯文件的命令，相當於文本文檔編輯

 

打開編輯後，找到server.info=  這一段的位置

 

然後編輯一下等號後面的值server.info=esafe.tw

 

 

二、升級Tomcat 到最新版本 

 

 目前Tomcat最新版本是

 Tomcat9 系列（Tomcat 9.0.0.M21） 

 Tomcat8 系列（Tomcat 8.5.15） 

 Tomcat7 系列（Tomcat 7.0.78）

 Tomcat6 系列（6.0.53）

根據以前下載的系列進行最新版本升級，如果之前用的是7系列的，就直接升級7系列

 

最新版本 7.0.78，不要直接升級跳躍到9系列裡去。eSafe白帽資安網公司是一家專注於：主機

安全、網站安全、網站安全檢測、網站漏洞修復,滲透測試,安全服務於一體的網絡安全服

務提供商。

 

三、Tomcat 端口安全配置

 

Tomcat 遠程端口一般都是不需要對外訪問的，只是用來在系統本地環境裡進行監聽數

 

據使用，如果前端用的是nginx架構作為訪問，可以使用Linux端口安全設置進行部署。

 

用Linux的iptables進行安全限制端口進行對外訪問。一個8080端口限制對外訪問即可。

 

再一個就是Tomcat 的AJP端口，默認是8009，限制這個端口的對外訪問。

 

 

四、禁止使用Tomcat 的管理頁面

 

默認安裝模式下的Tomcat是含有管理頁面的，manager，這個管理功能很少能用到，所

 

以可以直接刪除這個管理程序，找到tomcat的webapps目錄，然後把該目錄下的所有文

 

件都刪除掉，windows直接回收站處理即可，Linux直接 rm命令進行操作。

上一期的tomcat安全配置 高級網站安全部署像：禁止列出文件列表、修改web目錄和

tomcat的賬戶權限等等的安全設置，可以看一下這篇文章。