為了避免黑客針對某些版本進行攻擊，因此我們需要隱藏或者偽裝 Tomcat 的版本資訊。
針對該資訊的顯示是由一個jar包控制的，該jar包存放在 Tomcat 安裝目錄下的lib目錄下，名稱為 catalina.jar

1、兩種方式，第一種是修改catalina.jar檔案

進入tomcat的lib目錄找到catalina.jar檔案

unzip catalina.jar之後會多出兩個資料夾

進入org/apache/catalina/util 編輯配置檔案ServerInfo.properties欄位來實現來更改我們tomcat的版本資訊

修改為

server.info=Apache Tomcat
server.number=0.0.0.0
server.built=Apr 2 2017 07:25:00 UTC
 

將修改後的資訊壓縮回jar包

# cd  /tomcat/lib
# jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties

重啟tomcat

2、修改server屬性

在Connector中新增server屬性就可以了，具體如下：

開啟tomcat的conf/server.xml,在server.xml找到
<Connector port="8080" protocol="HTTP/1.1"  
                    connectionTimeout
 
="20000" 
                    redirectPort="8443"  
                    URIEncoding="UTF-8" 
                    useBodyEncodingForURI="true" />

修改後如下：
<Connector port="8080" protocol="HTTP/1.1"  
                     connectionTimeout="20000" 
                     redirectPort="8443"  
                     URIEncoding
 
="UTF-8" 
                     useBodyEncodingForURI="true" 
                     server="Microsoft-IIS/6.5"/>

3、預設Tomcat 是開啟了對war包的熱部署。為了防止被植入木馬等惡意程式，因此我們要關閉自動部署。

將unpackWARs和autoDeploy由原先true都改為false
<Host name="localhost"  appBase="" unpackWARs="false" autoDeploy="false">

線上是不使用 Tomcat 預設提供的管理頁面的，因此都會在初始化的時候就把這些頁面刪掉。這些頁面是存放在 Tomcat 安裝目錄下的webapps目錄下的。
我們只需要刪除該目錄下的所有檔案即可。另外conf/Catalina/localhost目錄下的2個配置檔案 host-manager.xml 和 manager.xml 也需要一併刪掉。

4、為了進一步安全，建議使用專用使用者 tomcat 或者 nobody 使用者來啟動 Tomcat，為了防止 Tomcat 被植入 web shell 程式後，可以修改專案檔案。因此我們要將 Tomcat 和專案的屬主做分離，這樣子，即便被搞，他也無法建立和編輯專案檔案。