デフォルトのポート8080
サーバー操作権限
LinuxでのTomcatの実行権限は、Tomcat起動アカウントに関連しています。たとえば、rootユーザーとして起動した場合、取得されるシェル権限はrootです。通常のユーザーで起動する場合、取得されるシェル権限は通常のユーザーです。セキュリティ上の理由から、Tomcatを起動するには、低い特権のアカウントを使用してください。
Windowsのアクセス許可制御には、アカウントの構成、新しいTomcatユーザーの作成、Guestグループへの所属が必要です。次に、Tomcatディレクトリへの対応するアクセス許可を設定し、ファイルアップロードフォルダーの設定を不可に設定してから、サービスアカウントをサービスログインアカウントに設定します。 (ローカルセキュリティポリシー-「ユーザー権限-」サービスとしてログイン)、サービスをクリックしてこのアカウントでログインし、サービスを再起動します。Apacheの構成に関する前の記事を参照してください
サーバーバックグラウンド管理
Tomcatホームページには3つのボタンがあり、サーバーの状態の入力、サーバーにデプロイされたアプリケーションの管理、およびホストインターフェイスの管理を示します。
デフォルトでは、エントリは送信されません。これらのボタンをクリックすると、ユーザー名とパスワードの入力ボックスが要求されますが、実際には、Tomcatはデフォルトではユーザー名とパスワードを設定しません。
confディレクトリのtomcat-users.xmlファイルに管理ユーザー名とパスワードを設定します(デフォルトはコメント化されています)
したがって、管理者はデフォルトのアカウントパスワード tomcat:tomcat both:tomcat role1:tomcatを設定できます。
Tomcatアカウントを使用して次の設定を追加できます。「manager-gui」は最初の2つのボタンにアクセスでき、「admin-gui」は前の3番目のボタンにアクセスできます
サーバーのアクセス制御
デフォルトでは、Tomcatエラーはサーバーのバージョン情報を明らかにします。これは一種の情報漏えいでもありますので、可能な限り非表示にする必要があります。
図に示すように、tomcatのlibディレクトリーを入力してcatalina.jarファイルを見つけ、解凍し、org / apache / catalina / utilと入力して構成ファイルServerInfo.propertiesを編集します。
バージョン情報を削除して保存
次に、コマンドを使用します
jar uvf catalina.jar org / apache / catalina / util / ServerInfo.properties
これにより、Tomcatのバージョン情報が漏洩することはありません。
禁止されているディレクトリのリスト
Webのディレクトリトラバーサルの脆弱性を防ぐために、ディレクトリリストがWebに表示されないようにする必要があります。設定方法は、Tomcat confフォルダのweb.xmlファイルを編集して次のコンテンツを見つけることです。マークされた位置がtrueの場合、ディレクトリトラバーサルが発生し、デフォルトはfalseです。
