Tomcat安全优化

一.telnet 管理端口保护（强制）

1修改端口默认的8005管理端口（大于1024）

2修改SHUTDOWN指令为其他字符串

备注。建议配置，按照实际情况合理配置，要求端口配置在8000-8999之间

二 ajp连接端口保护（推荐）

1.修改默认的ajp8009端口为不易冲突的大于1024端口

2通过iptables规则限制ajp端口访问的权限仅为线上机器

3.可以<!--   禁用，前提是不做Apache加tomcat

三。禁用管理端（强制）

1.删除默认的Tomcat安装目录/conf/tomcat-users.xml文件，重启tomcat后将会自动生成新的文件(server status显示的那个实验)

2.删除Tomcat安装目录/webapps 下默认的所有目录和文件  （里面都是帮助书册）

3.将tomcat应用根目录配置为tomcat安装目录以外的目录（/web/webapps   ）

四。降权启动（强制）

用root用户搭建tomcat，进程是以root身份产生的

黑客可以通过这个进程来进入root身份

首先关闭tomcat

[root@localhost ~]# useradd tomcat
[root@localhost ~]# cp -a /usr/local/tomcat8/ /home/tomcat/tomcat8_1

-a   是全都复制

[root@localhost ~]# chown -R tomcat:tomcat /home/tomcat/tomcat8_1
[root@localhost ~]# su -c '/home/tomcat/tomcat8_1/bin/startup.sh' tomcat

ps  aux |grep java 查看用户

五。文件列表访问控制（强制）

1 conf/web.xml文件中default部分listings的配置必须为false; （默认的）

六。启停脚本权限回收（推荐）

去除其他用户到tomcat的bin目录下shutdown.sh 。startup.sh   。catalina.sh 可执行权限

chmod -R 744 tomcat/bin/*