Tomcat介绍

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统被普遍使用，Tomcat是Apache 服务器的扩展，但运行时它是独立运行的，所以当你运行tomcat 时，它实际上是作为一个与Apache 一样独立的进程单独运行。Tomcat和IIS等Web服务器一样，具有处理HTML页面的功能，另外它还是一个Servlet和JSP容器。

Tomcat安全加固

1、Tomcat控制台

一般无特殊需要可以直接删除webapps文件夹默认自带文件夹及其文件，若业务系统需要使用tomcat管理后台进行业务代码发布和管理需要进行如下配置。

修改tomcat/conf/tomcat-user.xml配置文件

修改默认admin用户，且密码长度不低于10位，必须包含大写字母、特殊符号、数字组合(切记勿用弱密码，以下密码仅作演示)如下：

<role rolename="admin-gui"/>    <role rolename="manager-gui"/>   <user username="admin" password="Admin@#123" roles=" admin-gui , manager-gui "/> 

2、自定义错误页面

报错信息可能会造成信息泄露，不容忽视

1创建对应的html

2编辑tomcat/conf/web.xml文件中下列代码:

<error-page>   <error-code>404</error-code>   <location>/404.html</location>   </error-page>   <error-page>   <error-code>403</error-code>   <location>/403.html</location>   </error-page>   <error-page>   <error-code>500</error-code>   <location>/500.html</location>   </error-page> 

3、日志记录

编辑tomcat/conf/server.xml配置文件

检查日志记录是否开启(7/8这些较高版本都已经默认开启，低版本自行查看)

4、目录浏览

编辑tomcat/conf/web.xml配置文件

检查目录浏览是否关闭(都是默认关闭自行查看)

<init-param>           <param-name>listings</param-name>           <param-value>true</param-value>       </init-param> 

需要把true改成false

5、版本更新

时刻关注tomcat更新是否存在漏洞，如果存在漏洞请在https://tomcat.apache.org/下载最新稳定版安装

比如最近才爆出的 Tomcat Ajp协议文件包含漏洞