Tomcat是Java Servlet、JSP、Java表达式语言和Java WebSocket技术的开源实现，被广泛使用在Java语言开发的大型网站系统中。我们可以从以下几个方面来保障Tomcat的安全。

保持版本更新

建议在部署时采用最新稳定版的Tomcat，并在运维过程中追踪官方版本发布的情况，选择升级到最新稳定版。

删除默认应用

从官网下载了Tomcat安装文件后，在其webapps目录下默认有如下的应用：docs、examples、host-manager、manager、ROOT。删除这些默认应用，可以减少安全风险。

服务降权

在实践中，Tomcat服务器一般部署在负载均衡设备或者Nginx之后，服务的监听端口应设置为1024以上（例如常见的8080）。在这种情况下，笔者建议为Tomcat设置专用的启动用户，而并不是使用root这一超级权限用户，以限制在发生Tomcat入侵后黑客可以获得的权限避免更大的危害。而这也是最小权限原则的实践。例如，通过以下命令建立普通用户tomcat：

# groupadd -g 2000 tomcat
# useradd -g 2000 -u 2000 tomcat

管理端口保护

Tomcat提供了通过Socket连接8005端口来执行关闭服务的能力，这在生产环境中是极为危险的。通过修改server.xml配置文件来禁用该管理端口：

<Server port="8005" shutdown="SHUTDOWN">

修改为

<Server port="-1" shutdown="SHUTDOWN">

AJP连接端口保护

Tomcat服务器通过Connector连接器组件与客户程序建立连接，Connector组件负责接收客户的请求以及把Tomcat服务器的响应结果发送给客户。默认情况下，Tomcat在server.xml中配置了两种连接器，一种使用AJP，要和apache结合使用，一种使用http。当使用http 时，建议禁止AJP端口访问。禁用的方式是在server.xml中注释以下行：

<!--<Connector port="8329" protocol="AJP/1.3" redirectPort="8443" />-->

关闭WAR包自动部署

默认Tomcat开启了对WAR包的热部署的。笔者建议关闭自动部署，以防止WAR被恶意替换后导致的网站挂马。关闭WAR包自动部署的方式在修改server.xml中的

   <Host name="localhost"  appBase="webapps" unpackWARs="true" autoDeploy="true">

改成

<Host name="localhost"  appBase="webapps" unpackWARs="false" autoDeploy="false">

自定义错误页面

通过自定义错误页面，可以防止在发生未处理的异常时导致的信息泄露。自定义错误页面的方式是，编辑web.xml，在标签上添加以下内容：

<error-page>
<error-code>404</error-code>
<location>/404.html</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/500.html</location>
</error-page>

本文内容来自作者图书作品《Linux 系统安全：纵深防御、安全扫描与入侵检测》，点击购买。

创作场景

Linux 系统安全（九）：Tomcat 安全