默認埠 8080
服務器運行權限
Linux中Tomcat的運行權限與Tomcat的啟動賬戶有關,比如以root用戶啟動,那么獲得的shell權限就是root,當使用普通用戶啟動的時候,獲得的shell權限就是普通用戶,所以安全起見使用一個低權限的普通賬戶啟動Tomcat,
Windows權限控制需要進行賬戶配置,新建一個Tomcat用戶,并歸屬于Guests組,再給Tomcat目錄設定相應的權限,將其中的檔案上傳的檔案夾設定未不可知性,再將服務賬戶設定為服務登錄賬戶(本地安全策略-》用戶權限-》作為服務登錄),再點擊服務使用此賬戶登陸,重啟服務,具體操作截圖請看上一篇文章對apache的配置
服務器后臺管理
在Tomcat主頁有三個按鈕,分別表示進入服務器狀態,管理服務器上部署的應用,管理主機界面,
默認情況下時無發進入的,點擊其中任何一個按鈕都會提示用戶名和密碼的輸入框,但是實際上Tomcat默認又沒有配置任何用戶名密碼
在conf目錄下tomcat-users.xml檔案中設定管理用戶名和密碼(默認是注釋掉的)
所以管理員有可能配置使用默認的賬號密碼 tomcat:tomcat both:tomcat role1:tomcat
在其中加入如下設定就可以使用tomcat賬戶訪問了,“manager-gui”擁有訪問前兩個按鈕的權限,“admin-gui”擁有訪問前第三個按鈕的權限
服務器訪問控制
默認情況下Tomcat出錯會爆出服務器的版本資訊,這本身也是一種資訊泄露,所以要盡可能將其隱藏,
進入tomcat的lib目錄找到catalina.jar檔案,將其解壓然后進入org/apache/catalina/util編輯組態檔ServerInfo.properties,如圖所示
將版本資訊去除,保存
然后再使用命令
jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties
這樣Tomcat的版本資訊就不會泄露了
禁止目錄串列
為防止Web的目錄遍歷漏洞要禁止Web上顯示目錄串列,設定方法在Tomcat的conf檔案夾中編輯web.xml檔案,找到如下內容,如果標記的位置為true就會出現目錄遍歷,默認為false,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/27532.html
標籤:其他
上一篇:關于AWS亞馬遜云服務
下一篇:xshell連接不上阿里云