tomcat 安全设置

项目中需要对安全问题引起足够的重视，比如下列tomcat的安全问题容易被忽略：

 
1.server.xml默认有下面一行：

<Server port="8005" shutdown="SHUTDOWN">

这样允许任何人只要telnet到服务器的8005端口，输入"SHUTDOWN"，然后回车，服务器立即就被关掉了。

从安全的角度上考虑，我们需要把这个shutdown指令改成一个别人不容易猜测的字符串。

例如修改如下：

<Server port="8006" shutdown="lizongbo">，这样就只有在telnet到8006，并且输入"lizongbo"才能够关闭Tomcat.

注意：这个修改不影响shutdown.bat的执行。运行shutdown.bat一样可以关闭服务器。

参考Tomcat安全文档英文链接：http://jakarta.apache.org/tomcat/faq/security.html#8005

还有两个问题需要注意：
2、  对于tomcat3.1中，屏蔽目录文件自动列出的方法是什么？

缺省情况下，如果你访问tomcat下的一个web应用，那么如果你输入的是一个目录名，而且该目录下没有一个可用的welcome文件，那么tomcat会将该目录下的所有文件列出来，如果你想屏蔽这个缺省行为，那么可以修改conf/web.xml文件，将其中的：

<servlet>

<servlet-name>default</servlet-name>

<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>

<init-param>

<param-name>debug</param-name>

<param-value>0</param-value>

</init-param>

<init-param>

<param-name>listings</param-name>
<param-value>true</param-value>

</init-param>

<load-on-startup>1</load-on-startup>

</servlet>

修改为：

<servlet>

<servlet-name>default</servlet-name>

<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>

<init-param>

<param-name>debug</param-name>

<param-value>0</param-value>

</init-param>

<init-param>

<param-name>listings</param-name>
<param-value>false</param-value>

</init-param>

<load-on-startup>1</load-on-startup>

</servlet>

3、 如何让Tomcat记录客户端的访问日志 

下面是Tomcat相关手册中的介绍：

以下是引用来自 的内容：

Valve (功能与Logger差不多，其prefix和suffix属性解释和Logger 中的一样) className 指定Valve使用的类名，

如用org.apache.catalina.valves.AccessLogValve类可以记录应用程序的访问信息 directory 指定log文件存放

的位置 pattern 有两个值，common方式记录远程主机名或ip地址，用户名，日期，第一行请求的字符串，HTTP响

应代码，发送的字节数。combined方式比common方式记录的值更多 

所以需要完成的步骤：

   （1）修改Tomcat的conf/server.xml文件。

   （2）加上Valve节点到server.xml文件中，和您目前使用的Connector的节点平级。

      如：<Valve className="org.apache.catalina.valves.AccessLogValve"

      directory="e:/trs/trscds/tomcat/logs" pattern="combined"/>

   （3）重新启动您的Tomcat

   （4）有用户在访问的时候，在指定的log目录下面会生成一个access_log文件（每天一个）。

上述的步骤是以Tomcat4.x为例。（可能会影响性能，不推荐大家使用）。

 

5.还有一个问题：需要处理好Tomcat管理台的安全。

Tomcat管理台的应用文件，默认在{Tomcat安装目录}/server/webapps下，有admin和manager两个应用。

其用户密码，在{Tomcat安装目录}/conf/tomcat-users.xml中定义。在{Tomcat安装目录}/webapps下

admin.xml和manager.xml文件定义了可以通过访问/admin和/manager进入。

默认情况下，完全可以登录tomcat管理台，造成严重安全问题

检测办法：用IE打开链接http://[IP]:[Port]/admin，以用户名admin，密码为空登录，如果成功，

说明存在问题。

解决办法：可以删除{Tomcat安装目录}/webapps下admin.xml和manager.xml文件，或者去掉用户密

码，也可以删除应用文件。

6.404、401问题

我们一个用户提到如果找不到网页即出现404错误，会显示服务器版本号，服务器配置也一目了然，

为了避免这种情况，希望自定义设置错误页面。

设置如下：

1、将附件的index.htm文件拷贝至/webapps/ROOT目录内，删除或改名原来的index.jsp文件。

2、用记事本打开/conf/web.xml文件，在文件的倒数第二行（</web-app>一行之前）加入以下内容：
<error-page>
<error-code>401</error-code>
<location>/401.htm</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/404.htm</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/500.htm</location>
</error-page>
参考地址：
http://www.cnblogs.com/draem0507/archive/2013/04/03/2997537.html http://blog.csdn.net/yinyuan1987/article/details/3238065
更多
0