前言

Linux下tomcat部署比较简单，只要下载jdk、tomcat包，直接解压，配置一下JAVA_HOME就可以使用了。但是做到安全就不容易了。

下面是总结了几点的安全配置。

低权限用户运行

很多管理员都是很习惯的，直接使用root用户运行tomcat程序，但是我们一般前端还有nginx做转发，不需要在80端口下运行（Linux下80端口需要root用户才能启用），所以不需要root用户就可以运行了。

如果没有使用nginx作为前端进行转发的，建议还是加上nginx吧！

应用部署目录权限

应用目录的权限，运行用户一般不需要有部署目录的写权限，一般只要读跟执行权限（目录需要执行才能读取里面的内容）就可以了，所以应用部署目录可以跟运行用户分开。

删除默认目录

安装完tomcat后，默认的应用目录是在$CATALINA_HOME/webapps，默认带有很多tomcat的版本信息，这些信息暴露，黑客攻击起来就比较有针对性。

rm -rf /usr/local/apache-tomcat/webapps/*

关闭自动部署

tomcat部署代码的时候，建议关闭自动部署。在$CATALINA_HOME/conf/server.xml中的host字段，修改unpackWARs="false" autoDeploy="false"。

禁止用户管理

不需要通过web部署应用，建议注释或删除tomcat-users.xml下用户权限相关配置

禁止列出目录内容

在高版本的tomcat中已经禁用了列出目录 ，部署的时候还是得检查一下。

检查web.xml

隐藏tomcat版本信息

第一种方法 ：

修改$CATALINA_HOME/conf/server.xml,在Connector节点添加server字段

第二种方法：

修改$CATALINA_HOME/lib/catalina.jar::org/apache/catalina/util/ServerInfo.properties，

默认情况下如图：

可以自定义修改server.info字段和server.number字段，如图：

自定义错误页面

修改web.xml,自定义40x、50x等容错页面，防止信息泄露。

启用cookie的HttpOnly属性

修改$CATALINA_HOME/conf/context.xml，添加<Context useHttpOnly="true">,如下图所示

测试一下：

AJP端口管理

apache一般会用ajp协议进行转发，nginx也有人实现这个协议--nginx_ajp_module，但是一般还是使用proxy到服务端口的模式，所以不用到可以关闭这个端口。

总结

这些是自己遇到，总结的一些安全配置，还有其他的建议吗？