Tomcat服务器安全配置

默认端口  8080

服务器运行权限

Linux中Tomcat的运行权限与Tomcat的启动账户有关,比如以root用户启动,那么获得的shell权限就是root,当使用普通用户启动的时候,获得的shell权限就是普通用户。所以安全起见使用一个低权限的普通账户启动Tomcat。


Windows权限控制需要进行账户配置,新建一个Tomcat用户,并归属于Guests组,再给Tomcat目录设置相应的权限,将其中的文件上传的文件夹设置未不可知性,再将服务账户设置为服务登录账户(本地安全策略-》用户权限-》作为服务登录),再点击服务使用此账户登陆,重启服务,具体操作截图请看上一篇文章对apache的配置


服务器后台管理

在Tomcat主页有三个按钮,分别表示进入服务器状态,管理服务器上部署的应用,管理主机界面。

默认情况下时无发进入的,点击其中任何一个按钮都会提示用户名和密码的输入框,但是实际上Tomcat默认又没有配置任何用户名密码

在conf目录下tomcat-users.xml文件中设置管理用户名和密码(默认是注释掉的)

所以管理员有可能配置使用默认的账号密码 tomcat:tomcat   both:tomcat   role1:tomcat

在其中加入如下设置就可以使用tomcat账户访问了,“manager-gui”拥有访问前两个按钮的权限,“admin-gui”拥有访问前第三个按钮的权限


服务器访问控制

   默认情况下Tomcat出错会爆出服务器的版本信息,这本身也是一种信息泄露,所以要尽可能将其隐藏。

进入tomcat的lib目录找到catalina.jar文件,将其解压然后进入org/apache/catalina/util编辑配置文件ServerInfo.properties,如图所示

将版本信息去除,保存

然后再使用命令

jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties

这样Tomcat的版本信息就不会泄露了

   禁止目录列表

为防止Web的目录遍历漏洞要禁止Web上显示目录列表,设置方法在Tomcat的conf文件夹中编辑web.xml文件,找到如下内容,如果标记的位置为true就会出现目录遍历,默认为false。

posted @ 2020-04-15 15:19  我要变超人  阅读(883)  评论(0编辑  收藏  举报