Tomcat服务器的安全配置

Tomcat服务器的安装配置图⽂教程（推荐） 现在将使⽤Tomcat的⼀些经验和⼼得写到这⾥，作为记录和备忘。

如果有朋友看到，也请不吝赐教。

1、⾸先是Tomcat的获取和安装。

获取当然得上Apache的官⽅⽹站下载，开源免费，⽽且带宽也⾜够。

下载会很快。

这是两种不同的下载，⼀个是普通安装版本，⼀个是解压安装版本。

使⽤起来是⼀样的，只是在普通安装版本中有⼀些界⾯可提供对Tomcat的快捷设置，⽽且普通安装会将Tomcat作为系统服务进⾏注册。

2、Tomcat的运⾏环境搭建。

（解压版）安装（就是解压）完成后如下： Tomcat的启动是⼀个bat⽂件（Windows下），在bin⽬录下。

双击即可。

如果启动不成功，⼀般的情况是控制台出来⼀下⽴即消失，说明Tomcat没有找到Java的运⾏时环境。

简单理解，就是Tomcat找不到JDK，没办法运⾏。

我们“告诉”它JDK的安装路径。

即在环境变量⾥新建JAVA_HOME（不区分⼤⼩写），指向JDK安装⽬录。

如下： 这样，Tomcat就配置好了，启动就OK。

3、Tomcat的⽬录结构介绍。

bin⽬录存放⼀些启动运⾏Tomcat的可执⾏程序和相关内容。

conf存放关于Tomcat服务器的全局配置。

lib⽬录存放Tomcat运⾏或者站点运⾏所需的jar包，所有在此Tomcat上的站点共享这些jar包。

wabapps⽬录是默认的站点根⽬录，可以更改。

work⽬录⽤于在服务器运⾏时过度资源，简单来说，就是存储jsp、servlet翻译、编译后的结果。

其他⽬录和⽂件暂时不做介绍。

4、Tomcat的默认⾏为。

我们的浏览器请求如果到达了Tomcat，并且请求⽆误，⼀般Tomcat会以静态页⾯（即html⽂件）的形式给与响应，这是http服务器的默认⾏为。

⼀个完整的资源请求包括： 协议（如http） 主机名（域名，如localhost、） 端⼝号（http协议默认为80，所以我们⼀般向某个⽹站发起请求没有输⼊） 站点 资源位置 那么在第⼆步时我们只输⼊了域名（或者主机名）就访问到了某个具体的页⾯，这是怎么回事呢？。

Tomcat安装及配置教程Tomcat安装及配置教程Tomcat 服务器是⼀个免费的开放源代码的Web 应⽤服务器，属于轻量级应⽤服务器，在中⼩型系统和并发访问⽤户不是很多的场合下被普遍使⽤，是开发和调试JSP 程序的⾸选。

今天就在这⾥教⼤家如何进⾏安装以及配置。

操作⽅法01⾸先第⼀步，进⼊官⽹进⾏下载，选择Download下你要安装的版本进⾏下载。

02此次下载的是windows安装版，直接点击即可安装，但在安装前必须要进⾏环境设置——>设置Tomcat运⾏时依赖的SDK。

设置⽅法：选择我的电脑->属性->⾼级系统设置->环境变量->⽤户变量下选择"新建" 如下图所⽰：其中变量值为：SDK的安装路径。

03之后便是安装过程。

选择“Next”。

04选择“I Agree”。

05此处只选择设置User Name和Password其它选项选择默认值。

06选择你电脑上已安装的jre路径。

07选择“Tomcat”的安装路径。

08这⾥我们先取消上⾯两个选项，单击“Finish”完成安装。

09Tomcat 的主⽬录⽂件详解：Tomcat的主⽬录⽂件夹有以下⼏个：1. bin：⽤于存放启动和关闭tomcat的可执⾏⽂件。

2. lib：⾥⾯存放需要的jar包。

3. conf：tomcat的各种配置⽂件，tomcat启动时需要读取的配置⽂件主要有：server.xml，web.xml，tomcat-users.xml等等。

服务器的修改都要从此⽬录中进⾏。

4. logs：⽇志⽂件，如果服务器出现错误，会⾃动记录。

5. server：服务器的管理程序。

6. webapps：所有的可执⾏的web项⽬都会放到此⽬录中。

7. work：tomcat把各种由jsp⽣成的servlet都放在了这个⽂件夹下，⾥⾯包含.java⽂件和.class⽂件。

10启动Tomcat启动Tomcat我们可以直接运⾏bin⽬录下的 Tomcat6.exe 可执⾏⽂件如出现下⾯的效果则说明Tomcat启动成功了。

tomcat安全规范（tomcat安全加固和规范）tomcat是⼀个开源Web服务器，基于Tomcat的Web运⾏效率⾼，可以在⼀般的硬件平台上流畅运⾏，因此，颇受Web站长的青睐。

不过，在默认配置下其存在⼀定的安全隐患，可被恶意攻击。

以下是⼀些安全加固的⽅法：版本安全升级到最新稳定版，出于稳定性考虑，不建议进⾏跨版本升级。

服务降权不要使⽤root⽤户启动tomcat，使⽤⽤普通⽤户启动Tomcat，集群内⽤户名统⼀UID端⼝保护1 更改tomcat管理端⼝8005 ，此端⼝有权限关闭tomcat服务，但要求端⼝配置在8000~8999之间，并更改shutdown执⾏的命令2 若 Tomcat 都是放在内⽹的，则针对 Tomcat 服务的监听地址都是内⽹地址3 修改默认的ajp 8009端⼝为不易冲突（⼤于1024），但要求端⼝配置在8000~8999之间禁⽤管理端1 删除默认$CATALINA_HOME/conf/tomcat-users.xml⽂件，重启tomcat将会⾃动⽣成新的⽂件2 删除$CATALINA_HOME/webapps下载默认的所有⽬录和⽂件3 将tomcat应⽤根⽬录配置为tomcat安装⽬录以外的⽬录隐藏Tomcat的版本信息针对该信息的显⽰是由⼀个jar包控制的，该jar包存放在$CATALINA_HOME/lib⽬录下，名称为 catalina.jar，通过 jar xf 命令解压这个 jar 包会得到两个⽬录 META-INF 和 org ,修改 org/apache/catalina/util/ServerInfo.properties ⽂件中的 serverinfo 字段来实现来更改我们tomcat的版本信息关闭war⾃动部署默认 Tomcat 是开启了对war包的热部署的。

为了防⽌被植⼊⽊马等恶意程序，因此我们要关闭⾃动部署。

修改实例：<Host name="localhost" appBase=""unpackWARs="false" autoDeploy="false">⾃定义错误页⾯编辑conf/web.xml，在</web-app>标签上添加以下内容：<error-page><error-code>404</error-code><location>/404.html</location></error-page><error-page><error-code>500</error-code><location>/500.html</location></error-page>屏蔽⽬录⽂件⾃动列出编辑conf/web.xml⽂件<servlet><servlet-name>default</servlet-name><servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class><init-param><param-name>debug</param-name><param-value>0</param-value></init-param><init-param><param-name>listings</param-name><param-value>false</param-value></init-param><load-on-startup>1</load-on-startup></servlet><param-value>false</param-value>这⾥false为不列出，true为充许列出多虚拟主机强烈建议不要使⽤ Tomcat 的虚拟主机，推荐每个站点使⽤⼀个实例。

修订记录：TOMCAT安装及配置规范书写目的TOMCAT是系统运行部规定的标准应用服务器，为了规范运行环境，特制订以下规范。

1.安装软件软件列表：apache-tomcat-7.0.30jdk-6u27-linux-x64-rpm.binmod_jk-1.2.28-httpd-2.0.X.so1.1安装JDK确认系统位数：32bit 、64bit#uname –ii386以下安装步骤以64bit的 CentOS 5.6操作系统平台为例，先删除系统自带的JDK，rpm -qa|grep jdkjava-1.6.0-openjdk-1.6.0.0-1.7.b09.el5jdk-1.6.0_20-fcsrpm -qa|grep gcjjava-1.4.2-gcj-compat-1.4.2.0-40jpp.115libgcj-4.1.2-48.el5卸载yum -y remove java java-1.4.2-gcj-compat-1.4.2.0-40jpp.115yum -y remove java java-1.6.0-openjdk-1.6.0.0-1.7.b09.el5#java -version-bash: java: command not found在sun官方网站/javase/downloads/index.jsp下载到对应的jdk文件jdk-6u27-linux-x64-rpm.bin，执行以下命令安装：#cd /home/software#chmod a+x jdk-6u27-linux-x64-rpm.bin#./ jdk-6u27-linux-x64-rpm.bin--- 中途需要输入“yes”确认#rpm -ivh jdk-6u27-linux-x64-rpm#ln -s /usr/java/jdk1.6.0_27 /usr/java/jdk# ln -s /usr/java/jdk/bin/java /usr/bin/java# ln -s /usr/java/jdk/bin/javac /usr/bin/javac确认系统使用正确的java版本# java -versionjava version "1.6.0_27"1.2安装TOMCAT从官方网站获得TOMCAT，地址如下/tomcat/#cd /home/software#groupadd appuser#useradd tomcat -g appuser-d /home/tomcat#tar -zxvf apache-tomcat-7.0.30.tar.gz tomcat#chown -R tomcat:appuser /home/tomcat#chmod -R 750 /home/tomcat#vi /home/tomcat/bin/startup.sh在# Better OS/400 detection: see Bugzilla 31132前面加以下两行export JA VA_HOME=/usr/java/jdkexport CLASSPATH=$JA VA_HOME/lib:$JA VA_HOME/jre/lib#vi /usr/local/tomcat/bin/shutdown.sh在# resolve links - $0 may be a softlink前面加以下两行export JA VA_HOME=/usr/java/jdkexport CLASSPATH=$JA VA_HOME/lib:$JA VA_HOME/jre/lib注意：Windows环境下，修改/tomcat/bin/startup.bat、shutdown.bat。

网络安全管理员中级工练习题库含答案一、单选题（共40题，每题1分，共40分）1、下列哪一项不是WLAN无线通信技术的标准？（）。

A、802.11aB、802.11bC、802.11cD、802.11g正确答案：C2、在数据库技术中，哪一种数据模型是使用公共属性（外键）实现数据之间联系的（）。

A、关系模型B、层次模型C、面向对象模型D、网状模型正确答案：A3、下列选项中（）不是Tomcat服务器的安全配置事项。

A、在错误页面显示版本信息B、修改默认shutdown命令的端口C、修改用户的默认密码D、产品不能运行在开发和Debug模式正确答案：A4、TFTP 采用的传输层知名端口号为（）。

A、53B、69C、67D、68正确答案：B5、与其它安全手段相比，蜜罐系统的独特之处在于（）A、对被保护的系统的干扰小B、能够搜集到攻击流量C、能够离线工作D、能够对攻击者进行反击正确答案：B6、下列属于对称加密算法的是（）。

A、SHAB、RSAC、SM1D、ECC正确答案：C7、对设备及应用系统事故隐瞒不报或弄虚作假者，应追究（）及负责人的经济责任和行政责任。

A、应用管理员B、网络管理员C、当事人D、系统管理员正确答案：C8、在使用SSL或者TLS时，需要认证对方，那么就需要确认证书是否有效，下列选项中（）不是检查证书是否有效的事项。

A、检查认证机构（CB、是否值得信赖的C、检查该证书目前是否是有效的D、检查网络的名称是否与证书中的名称相符E、检查证书的建立时间正确答案：D9、设按《广西信息系统机房管理规定》要求，机房温度应保持在18℃—25℃，湿度保持在40%--60%。

接地电阻保持在（）欧以下。

A、2B、0.5C、1D、1.5正确答案：B10、可以被数据完整性机制防止的攻击方式是（）。

A、数据中途被攻击者窃听获取B、抵赖做过信息的递交行为C、假冒源地址或用户的地址欺骗攻击D、数据在中途被攻击者篡改或破坏正确答案：D11、防火墙的基本功能是访问控制，下面哪个因素不能作为防火墙访问控制判断依据（）。

tomcat常用的调优参数Tomcat常用的调优参数Tomcat是一个开源的Java Servlet容器，广泛应用于Java Web 应用程序的部署和运行。

为了提高Tomcat的性能和稳定性，我们可以通过调优参数来优化其配置。

本文将介绍一些常用的Tomcat 调优参数，帮助您更好地配置和优化T omcat服务器。

1. 内存设置- -Xms: 设置JVM的初始堆大小，建议设置为物理内存的1/4或1/3。

- -Xmx: 设置JVM的最大堆大小，建议设置为物理内存的1/2或2/3。

- -XX:MaxPermSize: 设置JVM的永久代大小，建议设置为256MB或512MB。

- -XX:MaxMetaspaceSize: 设置JVM的元空间大小，建议设置为256MB或512MB。

2. 线程设置- maxThreads: 设置Tomcat的最大线程数，建议根据服务器的硬件配置和并发请求数进行调整。

- acceptCount: 设置Tomcat接受请求的队列大小，建议设置为200或300。

- connectionTimeout: 设置Tomcat的连接超时时间，建议设置为30秒或60秒。

3. 连接器设置- protocol: 设置连接器的协议，常用的有HTTP/1.1和AJP/1.3。

- port: 设置连接器的监听端口，建议使用80端口作为HTTP连接器的默认端口。

- maxKeepAliveRequests: 设置每个Keep-Alive连接的最大请求数，建议设置为100或200。

- keepAliveTimeout: 设置Keep-Alive连接的超时时间，建议设置为5秒或10秒。

4. 缓存设置- cacheSize: 设置Tomcat的静态文件缓存大小，建议根据静态文件的数量和大小进行调整。

- cacheTTL: 设置静态文件缓存的过期时间，建议设置为1小时或更长。

- cacheObjectMaxSize: 设置缓存对象的最大大小，建议根据缓存对象的平均大小进行调整。

Tomcat7.0安装配置详细（图⽂） 1.进⼊上⾯的⽹站然后如下操作使⽤Window Service Installer(为Window 添加服务)2.然后我们进⾏安装说明⼀下：以前的版本是没有关于Role的设定，到了7.0的时候就有有关的设定，这也说明Tomcat对权限的关注⼀个tomcat运⾏的端⼝号：8080默认端⼝号：80，就是说不⽤输⼊端⼝号，默认输⼊就是80剩下的基本就是默认的，也没什么特殊的，在这⾥我在说明⼀下Tomcat安装完成后的⽬录有bin------存放启动和关闭的tomcat脚本conf-----包含不同的配置⽂件work----存放jsp编译后产⽣的class⽂件webapp存放应⽤程序的⽬录log-----存放⽇志⽂件lib------存放tomcat所需要的jar⽂件doc-----存放各种Tomcat⽂档通过bin/startup.bat命令运⾏Tomcat服务器（也可以通过⼩圆图标来启动哦）打开htt://localhost:8080查看服务是否启动正常如果出现下图，说明服务器安装成功tomcat7.0 的虚拟⽬录的配置：1.⾸先进⼊Tomcat 7.0conf的⽬录2.然后点击Tomcat 7.0confCatalinalocalhost的⽬录下3.最后创建⼀个虚拟⽬录的名字的xml⽂件如下：名字.xml复制代码代码如下:<Context path="/名字" docBase="D:Tomcat 7.0⽂件夹名" debug="5" reloadable="true" crossContext="true" />虚拟⽬录创建好了。

以后就可以在这个虚拟⽬录下操作了（以上和前⾯版本的虚拟⽬录配置有所不同，请区别对待）如果使⽤软件的话，他们默认的是把⼯程发布到tomcat的webapp⽂件夹下，很不⽅便，⽽且还互相影响（⽐如myEclipse）写⼀个简单的helloworld，感受⼀下jsp：<html><head><title>简单的程序</title></head><body><%="chenhailong,hello world" %></body></html>下⾯是其它⽹友的补充：Tomcat7.0.22在Windows下详细配置过程⼀、JDK1.7安装2、添加系统环境变量，我的电脑->属性->⾼级->环境变量（如果添加的环境变量已经存在，点击“编辑”添加，否则点击“新建”添加）（1）变量名： JAVA_HOME 变量值： D:\Program Files\Java\jdk1.6.0_29（点击“新建”，输⼊变量名、变量值，变量值末不需要分号）（2）变量名： CLASSPATH 变量值： D:\Program Files\Java\jdk1.6.0_29\lib\dt.jar;D:\Program Files\Java\jdk1.6.0_29\lib\tools.jar（“新建”，变量值末不需要分号）（3）变量名： Path 变量值： D:\Program Files\Java\jdk1.6.0_29\bin（“编辑”，变量值使⽤英⽂分号隔开，变量值末不需要分号）3、“开始”->“运⾏”->输⼊cmd，在命令提⽰符中输⼊“java -version”，“java”，“javac”⼏个命令，出现画⾯，说明环境变量配置成功⼆、Tomcat7.0.22安装配置2、添加系统环境变量，我的电脑->属性->⾼级系统设置->环境变量（操作同上）（1）变量名： CATALINA_BASE 变量值： D:\Program Files\apache-tomcat-7.0.22（Tomcat解压到的⽬录）（2）变量名： CATALINA_HOME 变量值： D:\Program Files\apache-tomcat-7.0.22（3）变量名： CATALINA_TMPDIR 变量值： D:\Program Files\apache-tomcat-7.0.22\temp（4）变量名： Path 变量值：D:\Program Files\apache-tomcat-7.0.22\bin。

网络安全管理员中级工复习题与参考答案一、单选题（共40题，每题1分，共40分）1、( )不是基于用户特征的身份标识与鉴别。

A、虹膜B、指纹C、视网膜D、门卡正确答案：D2、路由器是通过查看( )表来转发数据的。

A、服务器地址B、网络地址C、路由器地址D、主机地址正确答案：B3、网络安全最终是一个折中的方案,即安全强度和安全操作的折中,除增加安全设施投资外,还应考虑( )A、用户的方便性B、管理的复杂性C、对现有系统的影响及不同平台的支持D、以上三项都是正确答案：D4、下面情景( )属于授权。

A、用户依照系统提示输入用户名和口令B、用户使用加密软件对自己编写的OFFICE文档进行加密,以阻止其他人得到这份拷贝后提到文档中的内容C、用户在网络上共享了自己编写的一份OFFICE文档,并设定哪些用户可以阅读,哪些用户可以修改D、某个人尝试登录到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登录过程记录在系统日志中正确答案：C5、网络扫描器不可能发现的是( )A、用户的键盘动作B、系统的版本C、用户的弱口令D、系统的服务类型正确答案：A6、在计算机硬件系统组装中,机箱面板RSTSW连线用来连接( )。

A、电源指示灯B、电源开关C、复位开关D、硬盘指示灯正确答案：C7、下列危害中,( )是由上传文件漏洞引起的。

A、获取系统敏感信息B、上传木马文件C、修改数据库信息D、实施非法转账正确答案：B8、发布管理主要角色有:发布经理、( )和发布实施人员。

A、发布主管B、业务主管C、系统主管D、应用主管正确答案：A9、下列关于地址解析协议(ARP)说法错误的是( )。

A、ARP为IP地址到对应的硬件MAC地址之间提供动态映射B、PPP协议可以不依赖ARP机制解析地址C、ARP请求报文和ARP应答报文均以广播形式进行发送D、免费ARP(gratuitous ARP)指主机发送ARP查找自己的IP地址正确答案：C10、访问控制能够有效地防止对资源的非授权访问,一个典型的访问控制规则不包括( )A、客体B、操作C、认证D、主体正确答案：C11、向有限的空间输入超长的字符串是( )攻击。

网络安全管理员中级工题库及答案一、单选题（共40题，每题1分，共40分）1、RIP的最大HOP数为（）。

A、31B、15C、7D、3正确答案：B2、使用漏洞库匹配的扫描方法，能发现（）。

A、未知的漏洞B、自行设计的软件中的漏洞C、所有漏洞D、已知的漏洞正确答案：D3、下列属于非对称加密算法的是（）。

A、DESB、SM1C、SM2D、AES正确答案：C4、在设计访问控制模块时，为了简化管理，通常对访问者（），避免访问控制列表过于庞大。

A、分类组织成组B、不做任何限制C、按访问时间排序，并删除一些长期没有访问的用户D、严格限制数量正确答案：A5、对安全等级在三级以上的信息系统，需报送（）备案。

A、上级主管部门B、电监会C、本地区地市级公安机关D、业务主管部门正确答案：C6、与流量监管相比，流量整形会引入额外的：（）。

A、负载B、时延C、时延抖动D、丢包正确答案：B7、数据完整性安全机制可与（）使用相同的方法实现。

A、加密机制B、公证机制C、数字签名机制D、访问控制机制正确答案：C8、在许多组织机构中，产生总体安全性问题的主要原因是（）A、缺少故障管理B、缺少安全性管理C、缺少技术控制机制D、缺少风险分析正确答案：B9、在采取NTFS文件系统中，对一文件夹先后进行如下的设置:先设置为读取，后又设置为写入，再设置为完全控制，则最后，该文件夹的权限类型是（）。

A、完全控制B、写入C、读取D、读取、写入正确答案：A10、（）通信协议不是加密传输的。

A、SFTPB、HTTPSC、TFTPD、SSH正确答案：C11、下面属于上网行为部署方式的是（）。

A、总线模式B、星型模式C、环型模式D、旁路模式正确答案：D12、为保证远程运维通道的统一，在用户与服务器之间的防火墙要（）所有基于TCP协议中RDP，SSH，TELNET，XWin、VNC.FTP、SFTP的访问策略，只开放远程运维审计系统对这些协议的端口访问。

A、不用操作B、以上都不对C、禁用D、允许正确答案：C13、应按照对业务服务的重要次序来指定（）分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。