Porta padrão 8080
Autoridade de operação do servidor
As permissões de execução do Tomcat no Linux estão relacionadas à conta de inicialização do Tomcat. Por exemplo, se você iniciar como usuário root, a permissão de shell obtida será root. Quando você iniciar com um usuário normal, a permissão de shell obtida será o usuário normal. Por motivos de segurança, use uma conta de baixo privilégio para iniciar o Tomcat.
O controle de permissão do Windows requer configuração da conta, crie um novo usuário do Tomcat e pertença ao grupo Convidado, defina as permissões correspondentes ao diretório do Tomcat, defina as configurações da pasta de upload de arquivos como agnósticas e defina a conta de serviço para a conta de logon do serviço (Diretiva de segurança local - "Privilégios do usuário -" Efetue login como um serviço), clique no serviço para efetuar login com esta conta, reinicie o serviço, consulte o artigo anterior sobre a configuração do apache
Gerenciamento em segundo plano do servidor
Existem três botões na página inicial do Tomcat, que indicam a entrada no estado do servidor, o gerenciamento dos aplicativos implantados no servidor e a interface do host.
Por padrão, nenhuma entrada é enviada: clicar em um desses botões solicitará uma caixa de entrada de nome de usuário e senha, mas, na verdade, o Tomcat não configura nenhum nome de usuário e senha por padrão.
Defina o nome do usuário e a senha de gerenciamento no arquivo tomcat-users.xml no diretório conf (o padrão é comentado)
Portanto, o administrador pode configurar a senha da conta padrão tomcat: tomcat both: tomcat role1: tomcat
Você pode usar a conta do tomcat para adicionar as seguintes configurações: "manager-gui" tem acesso aos dois primeiros botões, "admin-gui" tem acesso ao terceiro botão antes
Controle de acesso ao servidor
Por padrão, o erro do Tomcat irá revelar as informações da versão do servidor, que também é um tipo de vazamento de informações, portanto deve ser ocultado o máximo possível.
Digite o diretório lib do tomcat para encontrar o arquivo catalina.jar, descompacte-o e insira org / apache / catalina / util para editar o arquivo de configuração ServerInfo.properties, conforme mostrado na figura
Remova as informações da versão e salve
Então use o comando
jar uvf catalina.jar org / apache / catalina / util / ServerInfo.properties
Dessa forma, as informações de versão do Tomcat não serão divulgadas
Lista de diretório proibida
Para impedir a vulnerabilidade de passagem de diretório da Web, a lista de diretórios deve ser proibida de ser exibida na Web. O método de configuração é editar o arquivo web.xml na pasta conf do Tomcat e localizar o seguinte conteúdo: se a posição marcada for verdadeira, a travessia de diretório ocorrerá e o padrão será falso.
