默认配置下,存在一定的安全隐患,可被恶意攻击。下面是一些安全加固的方法:升级到最新的稳定版本,这是陈词滥调。Tomcat目前支持6.0和7.0两个版本。1)为了稳定性,不建议跨版本升级。如果之前的版本是6.0系列,最好使用这个系列的最新版本。2)在statistics目录下部署最新的Tomcat,复制conf目录下的文件和webapp,然后修改server.xml,修改监听端口进行测试,如果正确就关闭Tomcat,改回端口。然后就可以在发布的时候停止旧的Tomcat,启动新的Tomcat,升级就完成了。2、从监听端口加固1)如果Tomcat不需要对外提供服务,监听会在本地环回,Nginx放在前面。如果需要对外提供访问,比如一个Nginx链接多个Tomcat,那么在服务器上使用iptables只允许负载均衡器的IP访问2)现在我们一般不会使用Apache通过AJP协议调用Tomcat,所以可以关闭AJP端口。3)新版Tomcat中,SHUTDOWN端口默认监听127.0.0.1,所以没有必要修改。如果还想加强,可以把SHUTDOWN换成其他字符串。3。自定义错误页面,隐藏Tomcat信息,编辑conf/web.xml,在标签添加如下内容:404/404.html500/500。html4.禁用Tomcat管理页面1)删除webapps目录下Tomcat原有的所有内容2)删除conf/Catalina/localhost/下的host-manager.xml和manager.xml两个文件5.以普通useruseradd-M-启动Tomcats/bin/falsetomcatchown-Rtomcat.tomcat/usr/local/src/apache-tomcat-6.0.37su-tomcat-c"/usr/local/src/apache-tomcat-6.0.37/bin/catalina.shstart"6.禁止Tomcat列出目录这个在新版本中默认是关闭的,你可以在conf/web.xmllistings中编辑false
