本文基於tomcat8.0.24
1、刪除文檔和示例程序
【操作目的】刪除示例文檔
【加固方法】刪除webapps/docs、examples、manager、ROOT、host-manager
【是否實施】是
2、禁止列目錄
【操作目的】防止直接訪問目錄時由於找不到默認頁面而列出目錄下的文件
【加固方法】打開web.xml,將<param-name>
listings</param-name> 改成<param-name>
false</param-name>
【是否實施】
否
3、禁止使用root用戶運行
【操作目的】以普通用戶運行,增加安全性
【加固方法】以admin用戶運行tomcat程序
【是否實施】是
4、開啟日志審核
【操作目的】檢查tomcat的訪問日志
【加固方法】獨立運行的tomcat,修改conf/server.xml,取消注釋
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>
啟用access_log后,重啟tomcat,在tomcat_home/logs中可以看到訪問日志。
【是否實施】是
5、修改默認訪問端口
【操作目的】修改默認的8080端口
【加固方法】conf/server.xml把8080改成任意端口
【是否實施】是
6、tomcat默認帳號安全
【操作目的】禁用tomcat默認帳號
【加固方法】conf/tomcat-user.xml中的所有用戶的注釋掉
<!--
<role rolename="tomcat"/>
<role rolename="role1"/>
<user username="tomcat" password="tomcat" roles="tomcat"/>
<user username="both" password="tomcat" roles="tomcat,role1"/>
<user username="role1" password="tomcat" roles="role1"/>
-->
【是否實施】是
7、重定向錯誤頁面
【操作目的】修改訪問tomcat錯誤頁面的返回信息
【加固方法】conf/web.xml在倒數第1行之前加
<error-page>
<error-code>401</error-code>
<location>/401.htm</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/404.htm</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/500.htm</location>
</error-page>
然后在webapps\manger目錄中創建相應的401.html\404.htm\500.htm文件
【是否實施】是