本文基于tomcat8.0.24

1、删除文档和示例程序

【操作目的】删除示例文档

【加固方法】删除webapps/docs、examples、manager、ROOT、host-manager

【是否实施】是

2、禁止列目录

【操作目的】防止直接访问目录时由于找不到默认页面而列出目录下的文件

【加固方法】打开web.xml，将<param-name>

listings</param-name> 改成<param-name>

false</param-name>

【是否实施】

否

3、禁止使用root用户运行

【操作目的】以普通用户运行，增加安全性

【加固方法】以admin用户运行tomcat程序

【是否实施】是

4、开启日志审核

【操作目的】检查tomcat的访问日志

【加固方法】独立运行的tomcat，修改conf/server.xml，取消注释

                    <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"   

                    prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/> 

                    启用access_log后，重启tomcat，在tomcat_home/logs中可以看到访问日志。

【是否实施】是

5、修改默认访问端口

【操作目的】修改默认的8080端口

【加固方法】conf/server.xml把8080改成任意端口

【是否实施】是

6、tomcat默认帐号安全

【操作目的】禁用tomcat默认帐号

【加固方法】conf/tomcat-user.xml中的所有用户的注释掉

                     <!--

                     <role rolename="tomcat"/>

                     <role rolename="role1"/>

                     <user username="tomcat" password="tomcat" roles="tomcat"/>

                     <user username="both" password="tomcat" roles="tomcat,role1"/>

                     <user username="role1" password="tomcat" roles="role1"/>

                      -->

【是否实施】是

7、重定向错误页面

【操作目的】修改访问tomcat错误页面的返回信息

【加固方法】conf/web.xml在倒数第1行之前加

                     <error-page>      

                             <error-code>401</error-code>              

                             <location>/401.htm</location>          

                     </error-page>          

                     <error-page>    

                             <error-code>404</error-code>        

                             <location>/404.htm</location>          

                     </error-page>  

                     <error-page>    

                             <error-code>500</error-code>  

                             <location>/500.htm</location>      

                      </error-page> 

                    然后在webapps\manger目录中创建相应的401.html\404.htm\500.htm文件

【是否实施】是