http://blogs.wankuma.com/kacchan6/archive/2007/10/14/101938.aspx
取り合えず外向けのアプリを作るなら、これだけは必要って話をしようかなと。
- カスタムエラー画面を作成
- 標準のレルムを外す
- マネージャアプリの類を外す
- サンプルアプリの類を外す
カスタムエラー画面を作成するのはバージョン情報を漏らさないようにするためです。特定バージョン向けの脆弱性が出た場合にも、バージョンが外部から分からなければ、速攻で攻撃対象にはなりにくいので、穴を塞ぐ時間稼ぎにはなります。
Tomcatを知っている場合に初期パスワードがバレバレなので、標準のレルムを外しておいた方が無難です。当然ユーザやパスワードを変えてしまえば問題ないですが、殆どアプリを作るうえでユーザ管理なんてレルムに任せる事は少ないと思います。
マネージャアプリの類はかなり危険です。パスワード間違いによるロック機能なんてないので、ブルートフォースで侵入された場合、Tomcatがrootで動いていたらサーバを捨てる事になるでしょう。rootじゃなければ、アプリを勝手に追加されたりする程度ですが、それでもかなり危険です。