Tomcat是一個(gè)HTTP服務(wù)器，是Sun透過Java Community Process開發(fā)的、對廣泛使用的Servlet和JavaServer Page(JSP)技術(shù)的正式參考實(shí)作。Servlet和JSP技術(shù)用于建構(gòu)HTTP服務(wù)器應(yīng)用程序。雖然Servlet技術(shù)中加入了許多特性(包括存取安全性、Session管理和執(zhí)行緒控制)。JSP技術(shù)提供了一種處理動(dòng)態(tài)生成的 HTML 頁面的簡便方法，這些 HTML 頁面被直接編譯成 Servlet 以用于快速執(zhí)行時(shí)作業(yè)。Tomcat除了上述的兩種技術(shù)保障安全之外，還可以通過配置Tomcat的參數(shù)以增加安全性

安全設(shè)置：

1. 刪除webapps目錄下的所有文件，禁用tomcat管理界面

rm -rf /usr/local/tomcat/apache-tomcat-9.0.1/webapps/*

2.注釋或刪除tomcat-users.xml文件內(nèi)的所有用戶權(quán)限：

3.隱藏版本信息，修改conf/server.xml

3.用戶問題：

nginx,httpd 使用root用戶啟動(dòng)守護(hù)80端口，子進(jìn)程/線程會(huì)通過setuid(),setgid()兩個(gè)函數(shù)切換到普通用戶。即父進(jìn)程所有者是root用戶，子進(jìn)程與多線程所有者是一個(gè)非root用戶，這個(gè)用戶沒有shell，無法通過ssh與控制臺(tái)登陸系統(tǒng)；
而Java 的JVM 是與系統(tǒng)無關(guān)的，是建立在OS之上的，使用什么用戶啟動(dòng)Tomcat，那麼Tomcat 就會(huì)繼承該所有者的權(quán)限。
這造成了一個(gè)問題，Linux系統(tǒng)小于1024的端口只有root可以使用，這也是Tomcat默認(rèn)端口是8080。如果想使用80端口只能使用root啟動(dòng)Tomcat。這有帶來了很多安全問題。

創(chuàng)建一個(gè)用戶，只能用于啟動(dòng)tomcat：

groupadd -g 80 tomcat
adduser -o --home /tomcat --shell /sbin/nologin --uid 80 --gid 80 -c "Web server" tomcat
chown tomcat:tomcat -R /usr/local/tomcat/apache-tomcat-9.0.1/*
su - tomcat -c "/usr/local/tomcat/apache-tomcat-9.0.1/bin/startup.sh"

做一個(gè)端口映射，訪問80時(shí)調(diào)用8080端口

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

取消跳轉(zhuǎn)：

iptables -t nat -D PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

4.關(guān)閉自動(dòng)部署war

vim conf/server.xml

5.隱藏404出現(xiàn)的版本信息：

到lib下解壓catalina.jar,   jar xf catalina.jar

vim /usr/local/tomcat/apache-tomcat-9.0.1/lib/org/apache/catalina/util/ServerInfo.properties

6.更改關(guān)閉tomcat指令

server.xml中定義了可以直接關(guān)閉 Tomcat 實(shí)例的管理端口。我們通過 telnet 連接上該端口之后，輸入 SHUTDOWN （此為默認(rèn)關(guān)閉指令）即可關(guān)閉 Tomcat 實(shí)例（注意，此時(shí)雖然實(shí)例關(guān)閉了，但是進(jìn)程還是存在的）。由于默認(rèn)關(guān)閉Tomcat 的端口和指令都很簡單。默認(rèn)端口為8005，指令為SHUTDOWN 。需要將關(guān)閉指令修改復(fù)雜一點(diǎn)。