Actuator是Spring Boot提供的服务监控和管理中间件，默认配置会出现接口未授权访问，部分接口会泄露网站流量信息和内存信息等，使用Jolokia库特性甚至可以远程执行任意代码，获取服务器权限。

代码层修改

禁用所有接口，将配置改成：
endpoints.enabled = false

或者引入spring-boot-starter-security依赖：

org.springframework.boot
spring-boot-starter-security

开启security功能，配置访问权限验证，类似配置如下：

management.port=8099
management.security.enabled=true
security.user.name=xxxxx
security.user.password=xxxxxx

运维层修复

使用nginx将所有访问全部禁止，此方法需要和研发人员沟通确定是否存在正常接口访问问题。

       location ~* /(beans|env|info|health|configprops|metrics|jolokia|trace|archaius|dump|autoconfig|features|mappings|logfile|heapdump|loggers) {
                return 403;
        }

server {
  listen 443 default;
  server_name _;
  return 403;
}