Tomcat的安全配置集锦

 如何预防后台被攻击？下面有几个关于Tomcat 的安全配置的小妙招！

 Tomcat作为一款常用的应用服务器，是可以满足多数场景的安全需求，但是在安全要求较高的情况下，仍需要从多个方面进行配置，已防止Tomcat管理后台被攻击等风险。


1、删除用不到的自带应用

 Tomcat安装完以后，在Webapps目录下面会有一些默认文件夹，
 docs： Tomcat的本地说明文档，可删。
 examples： 是Tomcat相关的demo示例，可删。
 ROOT： 是Tomcat默认页，可删。
 host-manager和manager： 用于管理及监控tomcat容器，如果使用第三方工具管理了或者根本用不到，那就直接删除吧。

2、隐藏8080端口并更换默认目录

1）打开tomcat目录/conf/server.xml 文件，找到下图位置，将端口号修改为80
2）在Host 的位置添加代码：
docBase为项目名称。默认位置在api_fonts

3、删除不使用的组件

Tomcat 的 server.xml配置了一个HTTP连接器（8080）和一个AJP连接器（8009），实际上绝大多数情况下，只需要一个连接器。如果Tomcat不存在前置的web服务器，此时可以保留HTTP而删除AJP连接器。
4、禁用自动部署

在默认情况下，Tomcat是自动部署的，只要是在webapps目录下的war包均会在Tomcat启动时自动部署，包括被植入的恶意web应用。要避免恶意的web应用自动启动，可以考虑从两个方面解决：
1）修改web应用部署目录为其他路径（详情参考第2种方式），这样攻击者很难找到正确的部署目录并部署web应用；
2）禁用自动部署，将server.xml配置文件中Host元素的autoDeploy和deployOnStartup属性设置为false，此时只有通过context标签部署web应用。

5、降权启动tomcat

tomcat 我们都是默认使用root权限启动，但是在linux机器中，root权限是最高的，所以如果被入侵并获得root权限，后果不堪设想。因此，将启动用户权限设为非root。应单独为Tomcat服务器创建一个用户，并且授予运行应用服务器所需的最小系统权限。