注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

文刀三皮的博客

专注于运行维护

 
 
 

日志

 
 
 
 

Windows 下Tomcat的安全管理  

2013-09-16 18:31:00|  分类: Web服务器 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
 
  1. 下载安装最新的Tomcat版本,最新版本一般都修复了旧版本的问题,包括安全性问题;
  2. 修改Tomcat管理后台的账号和密码(tomcat\conf\tomcat-user.xml)
  3. 修改tomcat运行的用户权限
在Windows环境下,Tomcat默认以System权限运行,这个权限过大,导致一些黑客通过tomcat上传一些提权的webshell工具,可以远程创建用户,并远程访问你的服务器,所以要给tomcat降权运行。
 
首先新建一个用户,设置复杂的密码,并且让它不属于任何用户组
接着打开“本地安全策略”--->“本地策略”--->“用户权限分配”,找到“作为服务登录”项,把刚刚新建的用户添加进去
再找到Tomcat安装目录,只为“Administrators组”和“tomcat”账户分配完全控制权限,并将其他账户权限全部删除。
如果不为tomcat账户分配权限,Tomcat服务将无法启动。
然后需要以最小权限原则为Tomcat日志目录和WEB目录单独分配权限,日志目录只需要分配“读取”和“写入”权限即可。

然后需修改  C:\Program Files\Java\jre6 (java的安装路径)的权限,需要新加入tomcat用户权限,否则也会报错
 
 
如果是 apache+tomcat的架构
还需修改apach目录权限
apache服务也需要以tomcat用户运行,apache的目录也需要添加tomcat用户的读写执行权限。 否则apache起不来
 
5. 修改默认的tomcat404  500错误提示页面。自定义 404  500错误页面方法如下:
 
在Tomcat安装目录下的conf/web.xml最后的之前增加如下代码:

  <error-page>
    <error-code>404</error-code>
    <location>/404.html</location>
</error-page>
 
<error-page>
    <error-code>500</error-code>
    <location>/500.html</location>
</error-page>
 
在webapps/ROOT中增加一个 404.html  500.html页面
 
  评论这张
 
阅读(14)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018