如何安全配置Tomcat实战
安全配置点具体如下:
配置点-1
<Server port="8005" shutdown="SHUTDOWN">**SHUTDOWN**修改为其他一些字符串。否则就容易被人给停止掉了。
telnet localhost 8005
输入SHUTDOWN
tomcat服务器停止掉
配置点-2
屏蔽目录文件自动列出 修改conf/web.xml中的, 使用Tomcat8/9等版本默认是false
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value><!-- 改成false -->
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
配置点-3
在server.xml中加入一下配置这样访问日志会记录到Logs中
<Valve className="org.apache.catalina.valves.AccessLogValve"
directory="logs" prefix="localhost_access_log." suffix=".txt"
pattern="common" resolveHosts="false"/>
配置点-4
修改conf/tomcat-users.xml文件下的管理员等账户的用户名、密码。
配置点-5
屏蔽后台管理入口
方法一:从控制用户和权限着手。废掉要管理权限的用户就可以了。
方法二:将conf/Catalina/localhost/manager.xml改名。
配置点-6
配置403,404,500等错误页面。默认情况下,报出HTTP错误的时候会暴露tomcat版本号。如果不想暴露的话,就需要重新定义错误跳转页面。
在conf/web.xml下最后</web-app>上面配置下面内容
<error-page>
<error-code>401</error-code>
<location>/error.html</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/error.html</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/error.html</location>
</error-page>
在webapps/ROOT目录下创建error.html以及错误页面内容,资源目录访问不到时候内容显示error.html自定义内容
小谭撩码
一起学习
Official Account