Tomcat 安全配置、管理规范整理

参考：
Tomcat 安全管理规范：https://blog.csdn.net/wuxingge/article/details/116517777
tomcat 安全规范(tomcat 安全加固和规范)：https://www.jb51.net/article/173899.htm
omcat 安全配置规范

以及个人从业经验

　　以下是整理后的 Tomcat 安全管理配置规范，具体实施方法可以百度：

第 1 章：账号管理与认证授权

1.1 账号管理

• 共享账号管理：避免不同用户间共享账号，确保每个用户有独立的账号。
• 无关账号管理：删除或锁定与设备运行、维护无关的账号。

1.2 口令管理

• 密码复杂度：密码长度至少 8 位，包含数字、小写字母、大写字母和特殊符号中的至少 2 类。
• 密码历史：支持按天配置口令生存期，不长于 90 天。

1.3 用户权利指派

• 根据用户业务需求，配置其所需的最小权限。

第 2 章：日志配置操作

2.1 日志配置

• 审核登录：配置日志功能，记录用户登录信息，包括账号、登录成功与否、登录时间以及远程登录时的 IP 地址。

第 3 章：IP 协议安全配置

3.1 IP 协议

• 支持加密协议：支持使用 HTTPS 等加密协议进行远程维护。

第 4 章：设备其他配置操作

4.1 安全管理

• 定时登出：支持定时账户自动登出，用户需重新登录。
• 更改默认端口：更改 Tomcat 服务器默认端口，避免使用默认端口。
• 错误页面处理：自定义错误页面，避免显示敏感信息。
• 目录列表访问限制：禁止 Tomcat 列出目录内容。

4.2 其他安全措施

• 版本安全：升级到最新稳定版，避免跨版本升级。
• 服务降权：使用普通用户启动 Tomcat，避免使用 root 用户。
• 端口保护：更改管理端口和 AJP 端口，避免使用默认端口。
• 禁用管理端：删除默认的 tomcat-users.xml​文件和 webapps​目录下的默认文件。
• 隐藏 Tomcat 版本信息：修改 ServerInfo.properties​文件，隐藏版本信息。
• 关闭 WAR 自动部署：关闭 Tomcat 的 WAR 包热部署功能。
• 脚本权限回收：控制 CATALINA_HOME/bin​目录下的脚本文件权限。
• 访问日志格式规范：开启访问日志中的 Referer 和 User-Agent 记录。
• 访问限制：通过配置限定访问的 IP 来源。

附录：建议配置及标准执行方案

• 配置文件：提供 server.xml​和 web.xml​的配置示例。
• 删除默认文件：删除 webapps​和 conf/tomcat-user.xml​等默认文件。
• 权限设置：修改 tomcat/bin​目录下的脚本文件权限，防止未授权的起停操作。

　　请注意，这些规范是基于 Tomcat 6.*版本的，不同版本的 Tomcat 可能需要不同的配置方法。