win2003下tomcat服务器部署与安全设置

杨叔叔

1.jdk安装,设置系统环境变量:
  1.1 创建JAVA_HOME:jdk安装目录
  1.2 创建CLASSPATH:%JAVA_HOME%\lib;%JAVA_HOME%\lib\tools.jar;%JAVA_HOME%\lib\dt.jar
  1.3 修改Path:加入%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin

2.安装tomcat
  2.1 注意不要空密码,管理登录用户名不要使用默认,端口号最好也不要使用默认.
  2.2 若在安装时忘记更改,可以通过以下方法更改管理用户信息,端口号
    2.2.1 管理账号信息:tomcat-users.xml,user标签内,注意roles属性代表当前账号拥有的权限,有admin,manager.
    2.2.2 端口号信息:server.xml,Connector标签内,port属性->绑定的端口号.

3.tomcat安全
  3.1 默认安装时Tomcat是以系统服务权限运行的，因此缺省情况下几乎所有的Web服务器的管理员都具有Administrator权限这和IIS不同，存在极大的安全隐患，所以安全设置首先从Tomcat服务降权开始。
    3.1.1 首先创建一个普通用户(最好是隶属于guest组)，为其设置密码，将其密码策略设置为“密码永不过期”，比如创建一个用户tomcat_leiliang。然后修改tomcat安装文件夹的访问权限，为tomcat_leiliang赋予tomcat文件夹的读、写、执行的访问权限，赋予tomecat_leiliang对WebApps文件夹的只读访问权限，如果某些Web应用程序需要写访问权限，单独为其授予对那个文件夹的写访问权限。
    3.1.1 “开始→运行”，输入services.msc打开服务管理器，找到Apache Tomcat服务，双击打开该服务，在其实属性窗口中点击“登录”选项卡，在登录身份下选中“以此帐户”，然后在文本框中输入tomcat_leiliang和密码，最后“确定”并重启服务器。这样tomcat就以tomcat_leiliang这个普通用户的权限运行。
    3.1.2 有的时候，我们需要在命令行下运行tomcat，这时候可以在命令下输入命令runas /user:tomcat_leiliang cmd.exe回车后并输入密码，这样就开启一个tomcat_leiliang权限的命令行。最后定位到tomcat的bin文件夹下，输入命令 tomcat6.exe即以tomcat_leiliang在命令行下启动tomcat。
      
  3.2 更改端口:
    3.2.1 tomcat的默认端口是8080，攻击者可以据此运行扫描工具进行端口扫描，从而获取部署了tomcat的Web服务器然后实施攻击。因此，为了安全期间我们可以修改此默认端口。在tomcat的安装路径的conf目录下找到server.xml文件，用记事本打开然后搜索8080找到对应的字段，然后将8080自行修改为另外的数字。另外，需要说明的是connectionTimeout="20000"是连接超时，maxThreads="150" 是最大线程类似这样的参数也可以根据需要进行修改。
  3.3 禁止列表
    3.3.1 如果浏览者可以在客户端浏览Web目录，那将会存在较大的安全隐患，因此我们要确认tomcat的设置中禁止列目录。设置文件是web.xml，也在conf目录下。用记事本打开该文件，搜索init-param在其附近找到类似如下字段：　　

<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
确认是false而不是true。


  3.4 用户管理
    3.4.1 tomcat的后台管理员为admin并且默认为空密码，安全期间我们需要修改该默认的用户名并为其设置健壮的密码。其配置文件为tomcat- users.xml，用记事本打开该文件然后进行修改。其中role标签表示其权限，manager说明是管理员权限;user标签表示后台管理用户，可以看到用户名为admin，我们可以将其修改为一个陌生的用户;可以看到password后面为空密码，我们可以为其设置一个复杂的密码。最后修改配置完成的tomcat-users.xml文件为：　

<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
  <role rolename="manager"/>
  <role rolename="admin"/>
  <user username="gslw" password="test168" roles="admin,manager"/>
</tomcat-users>


  3.5 错误页面
    3.5.1　打开web.xml文件，在最后一行的之前添加如下的语句：

<1-- 无法连接到请求页面 -->
<error-page>  
    <error-code>400</error-code>  
    <location>/400.htm</location>  
</error-page>
<!-- 访问未被授权页面 -->　
<error-page>  
    <error-code>401</error-code>  
    <location>/401.htm</location>  
</error-page>
<!-- 访问请求被站点拒绝 -->
<error-page>  
    <error-code>403</error-code>  
    <location>/403.htm</location>  
</error-page>
<!-- 未找到请求页面 -->
<error-page>  
    <error-code>404</error-code>  
    <location>/404.htm</location>  
</error-page>
<!-- 服务器错误导致页面无法访问 -->
<error-page>  
    <error-code>500</error-code>  
    <location>/500.htm</location>  
</error-page>
<!-- 错误页面需要放到webapps下root和manager目录中 -->


  3.5 隐藏后台路径
    3.5.1 修改webapps目录内manage目录名,如改为manager_XXX,则默认无法找到该管理目录
    3.5.1 修改后手动访问的方法: http;//域名:端口号/manager名/html

  3.6 有些版本tomcat有 host-manager注入漏洞,需要安装补丁