通常 Tomcat 后台管理的 URL 地址为 

黑客通过猜解到的口令登录 Tomcat 管理后台后，可以上传 Web 导致服务器被入侵。

由于此类型漏洞可能对业务系统造成比较严重的危害，建议您针对 Tomcat 管理后台进行以下安全加固配置。

• 如果您的业务不需要使用 Tomcat 管理后台管理业务代码，直接将 Tomcat 部署目录中 webapps 文件夹中的 manager、host-manager 文件夹全部删除，并注释 Tomcat 目录中 conf 文件夹中的 tomcat-users.xml 文件中的所有代码。
• 如果您的业务系统确实需要使用 Tomcat 管理后台进行业务代码的发布和管理，建议为 Tomcat 管理后台配置强口令，并修改默认 admin 用户，且密码长度不低于10位，必须包含大写字母、特殊符号、数字组合。

修改 conf/server.xml 文件，将下列代码取消注释：

启用访问日志功能，重启 Tomcat 服务后，在 tomcat_home/logs 文件夹中就可以看到访问日志。

修改 Tomcat 安装目录 conf 下的 tomcat-user.xml 文件，重新设置复杂口令并保存文件。重启 Tomcat 服务后，新口令即生效。

修改 conf/server.xml 文件把默认的 8080 访问端口改成其它端口。

修改访问 Tomcat 错误页面的返回信息，在 webapps\manger 目录中创建相应的401.html、404.htm、500.htm 文件，然后在 conf/web.xml 文件的最后一行之前添加下列代码：

401
/401.htm


404
/404.htm


500
/500.htm

防止直接访问目录时由于找不到默认页面，而列出目录下的文件的情况。

在 web.xml 文件中，将listings改成false。

删除 webapps 目录下的 docs、examples、manager、ROOT、host-manager 文件夹。

原文来自：http://www.ttlsa.com/tomcat/tomcat-security-hardening-configuration/

 

大全：