Tomcat的安全性分析和安全配置

发表于 | 分类于

Tomcat的安装

下载地址:
http://tomcat.apache.org/
建议下载二进制免安装版:

解压缩之后,配置好环境变量即可运行。

配置环境变量:

启动服务:
进入到tomcat的目录下的bin目录,命令行运行startup.bat。

启动完成如下:

用户的配置

Tomcat的用户配置在安装目录下的conf文件夹下的tomcat-users.xml中进行。
在文件尾处添加如下用户:

1
2
3
4
5
<role rolename="tomcat"/>
<role rolename="role1"/>
<role rolename="admin-gui"/>  
<role rolename="manager-gui"/>  
<user username="admin" password="admin" roles="admin-gui,manager-gui,tomcat,role1"/>


需要注意的是,添加完用户之后,需要重启服务器,用户只有继承了”manager-gui”权限,才能管理网站的部署。

添加完用户之后,需要重启服务器。

角色名只能为以下四种:
manager-gui:访问这个HTML接口;
manager-status:只能访问Server Status(服务器状态)页面;
manager-script:访问本文档描述的工具友好的纯文本页面和服务器状态页面;
manager-jmx:访问JMX代理接口和服务器状态页面;
其中manager-gui是权限最高的角色。

Tomcat部署war包

war包的生成

使用jdk自带的命令jar.exe,安装好jdk,配置好环境变量之后,命令行输入jar.exe,出现帮助信息,证明软件安装无误:

进入需要打包的文件目录,如下为“01文件夹”:

命令行执行:

1
jar.exe -cvf 包名.war *

将该目录下的所有文件进行打包生成war文件:

部署

启动Tomcat服务,默认的管理后台地址是:http://127.0.0.1:8080/
访问该地址,点击“Manager APP”,输入账号密码之后,即可以进入管理页面:





在tomcat的安装目录中的webapps文件夹中能够看到我们刚才部署的文件:


浏览器访问“http://localhost:8080/xdd/xdd.jsp”:

Tomcat的安全配置

禁用目录访问

配置文件:web.xml(/conf/2017/06/01/Web.xml)
listings设置为false:

修改默认端口、默认超时时间参数

配置文件:server.xml(/conf/server.xml)

修改默认账户密码

配置文件:tomcat-users.xml(/conf/tomcat-users.xml)