默认端口 8080
服务器运行权限
Linux中Tomcat的运行权限与Tomcat的启动账户有关,比如以root用户启动,那么获得的shell权限就是root,当使用普通用户启动的时候,获得的shell权限就是普通用户。所以安全起见使用一个低权限的普通账户启动Tomcat。
Windows权限控制需要进行账户配置,新建一个Tomcat用户,并归属于Guests组,再给Tomcat目录设置相应的权限,将其中的文件上传的文件夹设置未不可知性,再将服务账户设置为服务登录账户(本地安全策略-》用户权限-》作为服务登录),再点击服务使用此账户登陆,重启服务,具体操作截图请看上一篇文章对apache的配置
服务器后台管理
在Tomcat主页有三个按钮,分别表示进入服务器状态,管理服务器上部署的应用,管理主机界面。
默认情况下时无发进入的,点击其中任何一个按钮都会提示用户名和密码的输入框,但是实际上Tomcat默认又没有配置任何用户名密码
在conf目录下tomcat-users.xml文件中设置管理用户名和密码(默认是注释掉的)
所以管理员有可能配置使用默认的账号密码 tomcat:tomcat both:tomcat role1:tomcat
在其中加入如下设置就可以使用tomcat账户访问了,“manager-gui”拥有访问前两个按钮的权限,“admin-gui”拥有访问前第三个按钮的权限
服务器访问控制
默认情况下Tomcat出错会爆出服务器的版本信息,这本身也是一种信息泄露,所以要尽可能将其隐藏。
进入tomcat的lib目录找到catalina.jar文件,将其解压然后进入org/apache/catalina/util编辑配置文件ServerInfo.properties,如图所示
将版本信息去除,保存
然后再使用命令
jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties
这样Tomcat的版本信息就不会泄露了
禁止目录列表
为防止Web的目录遍历漏洞要禁止Web上显示目录列表,设置方法在Tomcat的conf文件夹中编辑web.xml文件,找到如下内容,如果标记的位置为true就会出现目录遍历,默认为false。
