Tomcat 是 Apache旗下的一个免费、开源的网站应用服务器，一般搭配于JAVA架

 

构的网站上，Tomcat可以运行在 Windows 2003 2008 2012   Linux centos等多个服

 

务器系统上，网站大并发处理以及运行效率，稳定、兼容性都是业界数一数二的、API

 

接口扩展性也比较实用、很多手机APP应用以及企业OA平台，PC网站客户端都部署在

 

Tomcat 环境里。

 

许多服务器运维人员，在安装Tomcat 的时候，都是以默认的安装模式，进行安全配置

 

，导致在整体的安全上有很大的安全漏洞，SINE安全工程师根据多年来，200多Tomcat

 

 服务器的安全加固经验，跟大家分享一下Tomcat 安全加固的解决办法.

 

 

一、首先隐藏Tomcat的版本型号等信息

 

许多黑客，以及肉鸡暴力扫描Tomcat的版本以及型号，根据版本号进行攻击，我们要

 

做的就是防止黑客获取到我们Tomcat的版本以及型号。Sine安全公司是一家专注于：服

务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,安全服务于一体的网络安

全服务提供商。

 

默认的Tomcat配置文件是 catalina.jar：

 

刚才网页显示出来的错误信息，是由Tomcat jar包来进行操作设置的，存放在 Tomcat

安装目录下的lib目录里，

 

以Linux服务器为例，可以进行如下操作：

 

[root@~]# cd /usr/local/apache-tomcat-9.0.0.M21/lib

 

[root@]#  mkdir -p org/apache/catalina/util

 

[root@]# cd org/apache/catalina/util

 

[root@]# vim ServerInfo.properties

 

VIM是Linux编辑文件的命令，相当于文本文档编辑

 

打开编辑后，找到server.info=  这一段的位置

 

然后编辑一下等号后面的值server.info=sinesafe

 

 

二、升级Tomcat 到最新版本 

 

 目前Tomcat最新版本是

 Tomcat9 系列（Tomcat 9.0.0.M21） 

 Tomcat8 系列（Tomcat 8.5.15） 

 Tomcat7 系列（Tomcat 7.0.78）

 Tomcat6 系列（6.0.53）

根据以前下载的系列进行最新版本升级，如果之前用的是7系列的，就直接升级7系列

 

最新版本 7.0.78，不要直接升级跳跃到9系列里去。Sine安全公司是一家专注于：服务器

安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服

务提供商。

 

三、Tomcat 端口安全配置

 

Tomcat 远程端口一般都是不需要对外访问的，只是用来在系统本地环境里进行监听数

 

据使用，如果前端用的是nginx架构作为访问，可以使用Linux端口安全设置进行部署。

 

用Linux的iptables进行安全限制端口进行对外访问。一个8080端口限制对外访问即可。

 

再一个就是Tomcat 的AJP端口，默认是8009，限制这个端口的对外访问。

 

 

四、禁止使用Tomcat 的管理页面

 

默认安装模式下的Tomcat是含有管理页面的，manager，这个管理功能很少能用到，所

 

以可以直接删除这个管理程序，找到tomcat的webapps目录，然后把该目录下的所有文

 

件都删除掉，windows直接回收站处理即可，Linux直接 rm命令进行操作。

上一期的tomcat安全配置 高级网站安全部署像：禁止列出文件列表、修改web目录和

tomcat的账户权限等等的安全设置，可以看一下这篇文章。