Apache tomcat是JAVA开发，JSP运行首选的web环境，国内很多网站，以及平台

都在使用tomcat 环境来运行网站，高效，稳定，安全，赢得了国内许多客户。

 

 

tomcat 该如何安全设置与部署呢？

 

SINE安全教您一步一步把tomcat安全做到极致。

 

现在tomcat最新版本是 Apache Tomcat 9.0，M21，

 

http://tomcat.apache.org/download-90.cgi  基于最新的版本下面进行安全配置。

 

如果以前用的是7.0 8.0 8.5老版本的tomcat环境，请尽快升级到9.0 M21版本，并修补

 

 

漏洞。首先打开 tomcat_home/webapps 文件夹，默认存在 docs 和 examples 文件夹，

 

这两个文件是文档跟示例程序，其实没有什么用，建议直接删除。

 

 

 

1.Apache tomcat 加强运行账户的安全权限设置

 

Linux系统，创建一个tomcat用户安全组，权限设置普通，赋值于tomcat运行服务进

 

程。

 

windows 2003 2008系统的apache tomcat安全设置，控制面板里打开计算机管理，添

 

 

加一个用户例如：tomcat用户，设置普通用户权限，然后在服务里找到apache tomcat 

 

 

9.0服务名称，并右键属性，设置登录身份，把刚才新建立的tomcat账户跟密码写上，并

 

 

确定，应用即可。Sine安全公司是一家专注于：服务器安全、网站安全、网站安全检测

 

、网站安全测试、于一体的安全服务提供商。

 

 

2. 禁止apache tomcat 网站列出目录
 

 

tomcat默认的设置，是可以直接列目录的，导致黑客可以看到一些私密的文件，建议修

 

 

改web.xml文件，找到listings，然后修改listings为false，即可。这样黑客就列不出

 

 

目录了。
 

 

3. 检查Tomcat的管理账户密码
 

 

默认通过http://网站：8080/manager/html 可以直接访问管理页面，如果不使用，

 

 

建议删除 tomcat_home/webapps/manager 和host-manager 文件夹。

 

如果使用 tomcat manager，打开tomcat_home/conf/tomcat-users.xml，修改用户

 

 

密码，加强密码的复杂程度，例如：

 

<role rolename="manager"/>

 

<user username="tomcat" password="复杂的密码" roles="manager"/>

 

在 tomcat-users.xml 中为所有用户设置数字大小写字符16位以上的复杂密码。

 

 

默认通过http://网站：8080/admin 也是可以访问tomcat admin的管理页面，如果不使

 

 

用的话，建议直接删除tomcat_home/webapps/admin文件夹。
 

 

4.开启tomcat的安全日志功能，当被攻击时可以查看日志查找问题所在
 

 

安全日志存到 tomcat_home/logs 中，访问日志默认是开启的，检查下是否有这个文件

 

 

夹。Sine安全公司是一家专注于：服务器安全、网站安全、网站安全检测、网站安全测

 

试、于一体的安全服务提供商。

 

 

5. 设置apache tomcat安全的字符串
 

 

防止黑客连接到服务器的8005端口来发送linux指令 比如：shutdown指令来恶意停止

 

 

tomcat的运行服务。打开 tomcat_home/conf/server.xml文件，设置一个复杂的账号密

 

码。

 

<Server port="8005" shutdown="复杂的密码(设置数字大小写字符16位以上的复杂密码

 

)">  防止黑客碰撞或者猜测密码。