为了避免**针对某些版本进行,因此我们需要隐藏或者伪装 Tomcat 的版本信息。
针对该信息的显示是由一个jar包控制的,该jar包存放在 Tomcat 安装目录下的lib目录下,名称为 catalina.jar**
1、两种方式,第一种是修改catalina.jar文件
进入tomcat的lib目录找到catalina.jar文件
unzip catalina.jar之后会多出两个文件夹
进入org/apache/catalina/util 编辑配置文件ServerInfo.properties字段来实现来更改我们tomcat的版本信息
修改为
server.info=Apache Tomcat
server.number=0.0.0.0
server.built=Apr 2 2017 07:25:00 UTC
将修改后的信息压缩回jar包
# cd /tomcat/lib
# jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties
重启tomcat
2、修改server属性
解决版本泄露,修改服务器Apache-Coyote/1.1标识为自定义内容
tomcat可以分成连接器和容器两个重要的组建,(还有其他很多组件)Apache-Coyote 是Tomcat的连接器。处理http请求的请求行,请求头等信息,创建Request和Response对象,然后调用Servlet容器的invoke方法。
Server:Apache-Coyote/1.1是泄露了当前容器的类型
在Connector中添加server属性就可以了,具体如下:
打开tomcat的conf/server.xml,在server.xml找到
connectionTimeout="20000"
redirectPort="8443"
URIEncoding="UTF-8"
useBodyEncodingForURI="true" />
修改后如下:
connectionTimeout="20000"
redirectPort="8443"
URIEncoding="UTF-8"
useBodyEncodingForURI="true"
server="Microsoft-IIS/6.5"/>
3、默认Tomcat 是开启了对war包的热部署。为了防止被植入***等恶意程序,因此我们要关闭自动部署。
将unpackWARs和autoDeploy由原先true都改为false
Host配置节点各个属性的作用:
appBase:设置 Web 应用程序组的路径。前面说过一个虚拟主机可以由多个 Web 应用程序构成,所以这里的appBase所
指向的目录应该是准备用于存放这一组 Web 应用程序的目录,而不是具体某个 Web 应用程序的目
录本身(即使该虚拟主机只由一个 Web 应用程序组成)。appBase 属性的值可以是相对于 Tomcat 安装目
录的相对路径,也可以是绝对路径,需要注意的是该路径必须是 Tomcat 有权限访问的,通过 Arch Linux 源
安装的 Tomcat 是通过 tomcat 用户运行的,因此创建一个新的 appBase 目录之后可以使用 chown 命令更
改目录的所有者。
name:设置虚拟主机的域名,比如 localhost 表示本机名称,实际应用时应该填写具体域名,
比如 www.dog.com 或者 dog.com,当然如果该虚拟主机是给内部人员访问的,也可以直接填写服务器的 ip 地址,
比如 192.168.1.10。
autoDeploy:是否允许自动部署,默认值是true,即表示Tomcat 会自动检测,若有新的WEB应用
放入appBase并且Tomcat在运行的情况下,自动载入应用。
unpackWARs:设置是否自动展开 war 压缩包再运行 Web 应用程序,默认值是 true,如果为false则
直接运行war文件。
线上是不使用 Tomcat 默认提供的管理页面的,因此都会在初始化的时候就把这些页面删掉。这些页面是存放在 Tomcat 安装目录下的webapps目录下的。
我们只需要删除该目录下的所有文件即可。另外conf/Catalina/localhost目录下的2个配置文件 host-manager.xml 和 manager.xml 也需要一并删掉
4、为了进一步安全,建议使用专用用户 tomcat 或者 nobody 用户来启动 Tomcat,为了防止 Tomcat 被植入 web shell 程序后,可以修改项目文件。因此我们要将 Tomcat 和项目的属主做分离,这样子,即便被搞,他也无法创建和编辑项目文件。