2、安全防范
通过上面的测试可以看到，默认配置下的Tomcat服务器的安全性是非常差的。如何来加固Tomcat服务器的安全性呢?我们从以下几个方面来加强。
(1).服务降权
默认安装时Tomcat是以系统服务权限运行的，因此缺省情况下几乎所有的Web服务器的管理员都具有Administrator权限这和IIS不同，存在极大的安全隐患，所以我们的安全设置首先从Tomcat服务降权开始。
首先创建一个普通用户，为其设置密码，将其密码策略设置为“密码永不过期”，比如我们创建的用户为Tomcat_lw。然后修改Tomcat安装文件夹的访问权限，为Tomcat_lw赋予Tomcat文件夹的读、写、执行的访问权限，赋予Tomcat_lw对WebApps文件夹的只读访问权限，如果某些Web应用程序需要写访问权限，单独为其授予对那个文件夹的写访问权限。(图5)

“开始→运行”，输入services.msc打开服务管理器，找到Apache Tomcat服务，双击打开该服务，在其实属性窗口中点击“登录”选项卡，在登录身份下选中“以此帐户”，然后在文本框中输入Tomcat_lw和密码，最后“确定”并重启服务器。这样Tomcat就以Tomcat_lw这个普通用户的权限运行。(图6)

有的时候，我们需要在命令行下运行Tomcat，这时候可以在命令下输入命令runas /user:tomcat_lw cmd.exe回车后并输入密码，这样就开启一个Tomcat_lw权限的命令行。最后定位到Tomcat的bin文件夹下，输入命令tomcat6.exe即以Tomcat_lw在命令行下启动Tomcat。(图7)

这样普通用户Tomcat_lw运行的Tomcat其权限就大大地降低了，就算是攻击者获得了Webshell也不能进一步深入，从而威胁web服务器的安全。
(2).更改端口
Tomcat的默认端口是8080，攻击者可以据此运行扫描工具进行端口扫描，从而获取部署了Tomcat的Web服务器然后实施攻击。因此，为了安全期间我们可以修改此默认端口。在Tomcat的安装路径的conf目录下找到server.xml文件，用记事本打开然后搜索8080找到对应的字段，然后将8080自行修改为另外的数字。另外，需要说明的是connectionTimeout="20000"是连接超时，maxThreads="150"是最大线程类似这样的参数也可以根据需要进行修改。(图8)

(3).禁止列表

我们知道在IIS中如果设置不当，就会列出Web当前目录中的所有文件，在Tomcat也不例外。如果浏览者可以在客户端浏览Web目录，那将会存在较大的安全隐患，因此我们要确认Tomcat的设置中禁止列目录。设置文件是web.xml，也在conf目录下。用记事本打开该文件，搜索init-param在其附近找到类似如下字段：

<init-param>

<param-name>listings</param-name>

<param-value>false</param-value>

</init-param>

确认是false而不是true。(图9)

• 深圳市一键一家网络科技有限公司官方网址：http://www.songhu9.com.cn
• QQ:316675593,电话号码:19807655856
• 业务范围：公司网站建设、管理软件研发、软件网站二次开发、400电话、电商平台研发、公众号研发！
• 免责申明：本站内容均来源于网络，版权归原创所有，如有任何版权方面的问题，请与我们联系处理！