一、tomcat6.0安全设置
1、禁止列表--应用的列目录漏洞
我们知道在IIS中如果设置不当,就会列出Web当前目录中的所有文件,在Tomcat也不例外。如果浏览者可以在客户端浏览Web目录,那将会存在较大的安全隐患,因此我们要确认Tomcat的设置中禁止列目录。设置文件是tomcat/conf/web.xml。用记事本打开该文件,搜索init-param在其附近找到类似如下字段:
listings
false
确认是false而不是true
2、用户管理
Tomcat的后台管理员为admin并且默认为空密码,安全期间我们需要修改该默认的用户名并为其设置健壮的密码。其配置文件为tomcat安装目录下的conf下的tomcat-
users.xml,用记事本打开该文件然后进行修改。其中role标签表示其权限,manager说明是管理员权限;user标签表示后台管理用户,可以看到用户名为admin,我们可以将其修改为一个陌生的用户;可以看到password后面为空密码,我们可以为其设置一个复杂的密码。最后修改配置完成的tomcat-users.xml文件为:
3、错误页面
Tomcat不像IIS提供了各种类型的错误页,如果Tomcat发生错误就会显示千篇一律的错误页面。其实我们可以通过修改其配置文件,从而自定义设置其错误页面的显示。打开你的工程目录下的WEB-INF下的web.xml文件,在最后的之前添加如下的语句:
401
/401.htm
404
/404.htm
500
/500.htm
当然,仅仅设置这样的语句还不行,需要创建相应的401.htm、404.htm、500.htm这样的文件才行。另外,要把错误页面文件放到你的工程根目录中,否则需要在web.xml中指定其路径
二、Apache安全:
当我们访问某个网站时,在后面增加相应的目录,就可以浏览到目录,对于网站来说,是很不安全的。 解决办法:
1、编辑httpd.conf文件
vi
./conf/httpd.conf
找到如下内容:
......
"C:/Program Files/Apache2.2/htdocs">
#
# Possible values for the Options directive are "None",
"All",
# or any combination of:
Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI
MultiViews
#
# Note that "MultiViews" must be named *explicitly* --- "Options
All"
# doesn't give it to you.
#
# The Options directive is both complicated and
important. Please see
# http://httpd.apache.org/docs/2.2/mod/core.html#options
# for more information.
#
Options
Indexes FollowSymLinks
#
# AllowOverride controls what directives may be placed in .htaccess
files.