这样普通用户Tomcat_lw运行的Tomcat其权限就大大地降低了，就算是攻击者获得了********也不能进一步深入，从而威胁web服务器的安全。

(2).更改端口

Tomcat的默认端口是8080，攻击者可以据此运行扫描工具进行端口扫描，从而获取部署了Tomcat的Web服务器然后实施攻击。因此，为了安全期间我们可以修改此默认端口。在Tomcat的安装路径的conf目录下找到server.xml文件，用记事本打开然后搜索8080找到对应的字段，然后将8080自行修改为另外的数字。另外，需要说明的是connectionTimeout="20000"是连接超时，maxThreads="150"是最大线程类似这样的参数也可以根据需要进行修改。(图8)

打造安全的Tomcat服务器(5)

(3).禁止列表

我们知道在IIS中如果设置不当，就会列出Web当前目录中的所有文件，在Tomcat也不例外。如果浏览者可以在客户端浏览Web目录，那将会存在较大的安全隐患，因此我们要确认Tomcat的设置中禁止列目录。设置文件是web.xml，也在conf目录下。用记事本打开该文件，搜索init-param在其附近找到类似如下字段：　　

<init-param> <param-name>listings</param-name> <param-value>false</param-value> </init-param>

确认是false而不是true。(图9)

(4).用户管理

Tomcat的后台管理员为admin并且默认为空密码，安全期间我们需要修改该默认的用户名并为其设置健壮的密码。其配置文件为tomcat- users.xml，用记事本打开该文件然后进行修改。其中role标签表示其权限，manager说明是管理员权限;user标签表示后台管理用户，可以看到用户名为admin，我们可以将其修改为一个陌生的用户;可以看到password后面为空密码，我们可以为其设置一个复杂的密码。最后修改配置完成的tomcat-users.xml文件为：　

<?xml　version=''1.0''　encoding=''utf-8''?> <tomcat-users> 　　　<role　rolename="manager"/> 　　　<role　rolename="admin"/> 　　　<user　username="gslw"　password="test168"　roles="admin,manager"/> </tomcat-users>

(图10)

(5).错误页面

Tomcat不像IIS提供了各种类型的错误页，如果Tomcat发生错误就会显示千篇一律的错误页面。其实我们可以通过修改其配置文件，从而自定义设置其错误页面的显示。打开web.xml文件，在最后一行的之前添加如下的语句：

<error-page> 　　　　　　 <error-code>401</error-code> 　　　　　　 <location>/401.htm</location> 　　　 </error-page> 　　　 <error-page> 　　　　　　 <error-code>404</error-code> 　　　　　　 <location>/404.htm</location> 　　　 </error-page> 　　　 <error-page> 　　　　　　 <error-code>500</error-code> 　　　　　　 <location>/500.htm</location> 　　　 </error-page>

当然，仅仅设置这样的语句还不行，需要创建相应的401.htm、404.htm、500.htm这样的文件才行。另外，要把错误页面文件放到webapps\manager目录中，否则需要在web.xml中指定其路径，最后的效果如图11所示。(图11)

总结：Tomcat不同于IIS，其配置没有图形界面，而是通过修改配置文件来完成的。不过，正因为如此用户有更多的自主性，可以根据自己的需要进行扩展。而且其与Apache可以无缝结合，打造安全、强大的Web服务器。

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!