• Tomcat服务器安全配置


    默认端口  8080

    服务器运行权限

    Linux中Tomcat的运行权限与Tomcat的启动账户有关,比如以root用户启动,那么获得的shell权限就是root,当使用普通用户启动的时候,获得的shell权限就是普通用户。所以安全起见使用一个低权限的普通账户启动Tomcat。


    Windows权限控制需要进行账户配置,新建一个Tomcat用户,并归属于Guests组,再给Tomcat目录设置相应的权限,将其中的文件上传的文件夹设置未不可知性,再将服务账户设置为服务登录账户(本地安全策略-》用户权限-》作为服务登录),再点击服务使用此账户登陆,重启服务,具体操作截图请看上一篇文章对apache的配置


    服务器后台管理

    在Tomcat主页有三个按钮,分别表示进入服务器状态,管理服务器上部署的应用,管理主机界面。

    默认情况下时无发进入的,点击其中任何一个按钮都会提示用户名和密码的输入框,但是实际上Tomcat默认又没有配置任何用户名密码

    在conf目录下tomcat-users.xml文件中设置管理用户名和密码(默认是注释掉的)

    所以管理员有可能配置使用默认的账号密码 tomcat:tomcat   both:tomcat   role1:tomcat

    在其中加入如下设置就可以使用tomcat账户访问了,“manager-gui”拥有访问前两个按钮的权限,“admin-gui”拥有访问前第三个按钮的权限


    服务器访问控制

       默认情况下Tomcat出错会爆出服务器的版本信息,这本身也是一种信息泄露,所以要尽可能将其隐藏。

    进入tomcat的lib目录找到catalina.jar文件,将其解压然后进入org/apache/catalina/util编辑配置文件ServerInfo.properties,如图所示

    将版本信息去除,保存

    然后再使用命令

    jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties

    这样Tomcat的版本信息就不会泄露了

       禁止目录列表

    为防止Web的目录遍历漏洞要禁止Web上显示目录列表,设置方法在Tomcat的conf文件夹中编辑web.xml文件,找到如下内容,如果标记的位置为true就会出现目录遍历,默认为false。

  • 相关阅读:
    SQliteDatabase详解
    Eclipse常用快捷键
    Android 省市区三级联动
    关于安卓9patch图片的探究
    9patch
    Day3_UI布局--FXQ
    day2-UI布局
    Day01_扩展_Genymotion模拟器的使用
    React Examples
    React项目结构
  • 原文地址:https://www.cnblogs.com/sup3rman/p/12705533.html
Copyright © 2020-2023  润新知