前言

Linux下tomcat部署比較簡單，只要下載jdk、tomcat包，直接解壓，配置一下JAVA_HOME就可以使用了。但是做到安全就不容易了。

下面是總結了幾點的安全配置。

低權限用戶運行

很多管理員都是很習慣的，直接使用root用戶運行tomcat程序，但是我們一般前端還有nginx做轉發，不需要在80端口下運行（Linux下80端口需要root用戶才能啟用），所以不需要root用戶就可以運行了。

如果沒有使用nginx作為前端進行轉發的，建議還是加上nginx吧！

應用部署目錄權限

應用目錄的權限，運行用戶一般不需要有部署目錄的寫權限，一般只要讀跟執行權限（目錄需要執行才能讀取裡面的內容）就可以了，所以應用部署目錄可以跟運行用戶分開。

刪除默認目錄

安裝完tomcat後，默認的應用目錄是在$CATALINA_HOME/webapps，默認帶有很多tomcat的版本信息，這些信息暴露，黑客攻擊起來就比較有針對性。

rm -rf /usr/local/apache-tomcat/webapps/*

關閉自動部署

tomcat部署代碼的時候，建議關閉自動部署。在$CATALINA_HOME/conf/server.xml中的host字段，修改unpackWARs="false" autoDeploy="false"。

禁止用戶管理

不需要通過web部署應用，建議註釋或刪除tomcat-users.xml下用戶權限相關配置

禁止列出目錄內容

在高版本的tomcat中已經禁用了列出目錄 ，部署的時候還是得檢查一下。

檢查web.xml

隱藏tomcat版本信息

第一種方法 ：

修改$CATALINA_HOME/conf/server.xml,在Connector節點添加server字段

第二種方法：

修改$CATALINA_HOME/lib/catalina.jar::org/apache/catalina/util/ServerInfo.properties，

默認情況下如圖：

可以自定義修改server.info字段和server.number字段，如圖：

自定義錯誤頁面

修改web.xml,自定義40x、50x等容錯頁面，防止信息洩露。

啟用cookie的HttpOnly屬性

修改$CATALINA_HOME/conf/context.xml，添加<Context useHttpOnly="true">,如下圖所示

測試一下：

AJP端口管理

apache一般會用ajp協議進行轉發，nginx也有人實現這個協議--nginx_ajp_module，但是一般還是使用proxy到服務端口的模式，所以不用到可以關閉這個端口。

總結

這些是自己遇到，總結的一些安全配置，還有其他的建議嗎？