转载自：http://www.cnblogs.com/kai2016/p/5945715.html

前言

随着公司内部使用Tomcat作为web应用服务器的规模越来越大，为保证Tomcat的配置安全，防止信息泄露，恶性***以及配置的安全规范，特制定此Tomcat安全配置规范。

定位：仅对tomcat的安全配置部分进行标准规范。

适用版本范围：tomcat 6.*

1 Tomcat安装规范

注：所有线上运行tomcat必须严格安装本标准执行。

1.1 tomcat用户设置

1. [tomcat@tuan-node1 ~]# useradd -d /tomcat -u 501 tomcat

2. [tomcat@tuan-node1 ~]# passwd tomcat

3. [tomcat@tuan-node1 ~]# su - tomcat

4. [tomcat@tuan-node1 ~]$ id tomcat

5. uid=501(tomcat) gid=501(tomcat) groups=501(tomcat)

6. [tomcat@tuan-node1 ~]$ pwd

7. /tomcat

1.2 tomcat安装

1. [tomcat@tuan-node1 ~]$ wget ftp://10.6.9.111/soft/apache-tomcat-6.0.35.tgz

2. [tomcat@tuan-node1 ~]$ wget ftp://10.6.9.111/soft/apache-tomcat-6.0.35.tgz.md5

3. [tomcat@tuan-node1 ~]$ md5sum -c apache-tomcat-6.0.35.tgz.md5

4. apache-tomcat-6.0.35.tar.gz: OK

5. [tomcat@tuan-node1 ~]$ wget ftp://10.6.9.111/soft/jdk1.6.0_22.tgz

6. [tomcat@tuan-node1 ~]$ wget ftp://10.6.9.111/soft/jdk1.6.0_22.tgz.md5

7. [tomcat@tuan-node1 ~]$ md5sum -c jdk1.6.0_22.tgz.md5

8. jdk1.6.0_22.tgz: OK

9. [tomcat@tuan-node1 ~]$ tar xzf apache-tomcat-6.0.35.tgz

10. [tomcat@tuan-node1 ~]$ tar xzf jdk1.6.0_22.tgz

1.3 tomcat配置

1. [tomcat@tuan-node1 ~]$ vim .bash_profile 增加以下内容：

2. export JAVA_HOME=/tomcat/jdk1.6.0_22

3. export PATH=$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH

4. export CLASSPATH=.$CLASSPATH:$JAVA_HOME/lib:$JAVA_HOME/jre/lib:$JAVA_HOME/lib/tools.jar

5. export TOMCAT_HOME=/tomcat/apache-tomcat-6.0.35

6. [tomcat@tuan-node1 ~]$source .bash_profile

7. [tomcat@tuan-node1 ~]$ java -version

8. java version "1.6.0_26"

9. Java(TM) SE RuntimeEnvironment(build 1.6.0_26-b03)

10. JavaHotSpot(TM)64-BitServer VM (build 20.1-b02, mixed mode)

1.4 应用程序配置

[tomcat@tuan-node1 ~]$ mkdir webapps

  将应用程序放置在/tomcat/目录下。建立相应的目录如团购wmw_tuan，静态化wmw_static，并修改server.xml，对应好目录即可。

1.5 启动Tomcat：

1. [tomcat@tuan-node1 ~]$ /tomcat/apache-tomcat-6.0.35/bin/startup.sh

2. Using CATALINA_BASE:   /tomcat/apache-tomcat-6.0.35

3. Using CATALINA_HOME:   /tomcat/apache-tomcat-6.0.35

4. Using CATALINA_TMPDIR:/tomcat/apache-tomcat-6.0.35/temp

5. Using JRE_HOME:        /tomcat/jdk1.6.0_22

6. Using CLASSPATH:       /tomcat/apache-tomcat-6.0.35/bin/bootstrap.jar

2 安全设置规范

1.telnet管理端口保护（强制）

2.ajp连接端口保护（推荐）

3.禁用管理端（强制）

4.降权启动（强制）

5.文件列表访问控制（强制）

6.版本信息隐藏（强制）

7.Server header重写（推荐）

8.访问限制（可选）

9.起停脚本权限回收（推荐）

10.访问日志格式规范（推荐）

11.附录：建议配置及标准执行方案

1.配置部分（${ CATALINA_HOME }conf/server.xml）

1. <Server port="8527" shutdown=" dangerous">

2.  

3. <!--Define a non-SSL HTTP/1.1Connector on port 8080-->

4. <Connector port="8080" server="webserver"/>

5.  

6. <!--Define an AJP 1.3Connector on port 8528-->

7. <!--Define an accesslog -->

8. <Valve className="org.apache.catalina.valves.AccessLogValve"

9.                  directory="logs"  prefix="localhost_access_log." suffix=".txt"

10. pattern="%h %l %u %t %r %s %b %{Referer}i %{User-Agent}i %D" resolveHosts="false"/>

11.  

12.     <Connector port="8528" protocol="AJP/1.3"/>

13.  

14. <Context path="" docBase="/home/work/local/tomcat_webapps" debug="0" reloadable="false" crossContext="true"/>

2.配置部分（${ CATALINA_HOME }conf/web.xml或者WEB-INF/web.xml）

1. <init-param>

2.        <param-name>listings</param-name>

3.        <param-value>false</param-value>

4. </init-param>

5.  

6. <error-page>

7.        <error-code>403</error-code>

8.        <location>/forbidden.jsp</location>

9. </error-page>

10. <error-page>

11.        <error-code>404</error-code>

12.        <location>/notfound.jsp</location>

13. </error-page>

14. <error-page>

15.        <error-code>500</error-code>

16.        <location>/systembusy.jsp</location>

17. </error-page>

3.删除如下tomcat的默认目录和默认文件

1. tomcat/webapps/*

2. tomcat/conf/tomcat-user.xml

4.去除其他用户对tomcat 起停脚本的执行权限

1. chmod 744–R tomcat/bin/*