win2003下tomcat服务器部署与安全设置
? 3.3 禁止列表
??? 3.3.1 如果浏览者可以在客户端浏览Web目录,那将会存在较大的安全隐患,因此我们要确认tomcat的设置中禁止列目录。设置文件是web.xml,也在conf目录下。用记事本打开该文件,搜索init-param在其附近找到类似如下字段:
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
确认是false而不是true。
? 3.4 用户管理
??? 3.4.1 tomcat的后台管理员为admin并且默认为空密码,安全期间我们需要修改该默认的用户名并为其设置健壮的密码。其配置文件为tomcat- users.xml,用记事本打开该文件然后进行修改。其中role标签表示其权限,manager说明是管理员权限;user标签表示后台管理用户,可以看到用户名为admin,我们可以将其修改为一个陌生的用户;可以看到password后面为空密码,我们可以为其设置一个复杂的密码。最后修改配置完成的tomcat-users.xml文件为:
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
? <role rolename="manager"/>
? <role rolename="admin"/>
? <user username="gslw" password="test168" roles="admin,manager"/>
</tomcat-users>
? 3.5 错误页面
??? 3.5.1 打开web.xml文件,在最后一行的之前添加如下的语句:
<1-- 无法连接到请求页面 -->
<error-page>??
??? <error-code>400</error-code>??
??? <location>/400.htm</location>??
</error-page>
<!-- 访问未被授权页面 -->
<error-page>??
??? <error-code>401</error-code>??
??? <location>/401.htm</location>??
</error-page>
<!-- 访问请求被站点拒绝 -->
<error-page>??
??? <error-code>403</error-code>??
??? <location>/403.htm</location>??
</error-page>
<!-- 未找到请求页面 -->
<error-page>??
??? <error-code>404</error-code>??
??? <location>/404.htm</location>??
</error-page>
<!-- 服务器错误导致页面无法访问 -->
<error-page>??
??? <error-code>500</error-code>??
??? <location>/500.htm</location>??
</error-page>
<!-- 错误页面需要放到webapps下root和manager目录中 -->
? 3.5 隐藏后台路径
??? 3.5.1 修改webapps目录内manage目录名,如改为manager_XXX,则默认无法找到该管理目录
??? 3.5.1 修改后手动访问的方法: http;//域名:端口号/manager名/html
? 3.6 有些版本tomcat有 host-manager注入漏洞,需要安装补丁
