Windows下Tomcat的安全管理

发布时间：2013-09-19 23:10:55作者：知识屋

下载安装最新的Tomcat版本，最新版本一般都修复了旧版本的问题，包括安全性问题；

修改Tomcat管理后台的账号和密码（tomcatconftomcat-user.xml）

修改tomcat运行的用户权限

在Windows环境下，Tomcat默认以System权限运行，这个权限过大，导致一些黑客通过tomcat上传一些提权的webshell工具，可以远程创建用户，并远程访问你的服务器，所以要给tomcat降权运行。

首先新建一个用户，设置复杂的密码，并且让它不属于任何用户组，接着打开“本地安全策略”--->“本地策略”--->“用户权限分配”，找到“作为服务登录”项，把刚刚新建的用户添加进去。

再找到Tomcat安装目录，只为“Administrators组”和“tomcat”账户分配完全控制权限，并将其他账户权限全部删除。

如果不为tomcat账户分配权限，Tomcat服务将无法启动。

然后需要以最小权限原则为Tomcat日志目录和WEB目录单独分配权限，日志目录只需要分配“读取”和“写入”权限即可。

然后需修改 C:Program FilesJAVAjre6 （java的安装路径）的权限，需要新加入tomcat用户权限，否则也会报错

如果是 apache+tomcat的架构

还需修改apach目录权限

apache服务也需要以tomcat用户运行，apache的目录也需要添加tomcat用户的读写执行权限。否则apache起不来

5. 修改默认的tomcat404 500错误提示页面。自定义 404 500错误页面方法如下：

在Tomcat安装目录下的conf/web.xml最后的之前增加如下代码：

<error-page>

    <error-code>404</error-code>

    <location>/404.html</location>

</error-page>

<error-page>

    <error-code>500</error-code>

    <location>/500.html</location>

</error-page>

在webapps/ROOT中增加一个 404.html 500.html页面

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）