打造安全的Tomcat服务器

核心提示： (3).禁止列表我们知道在IIS中如果设置不当，就会列出Web当前目录中的所有文件，打造安全的Tomcat服务器(4)，在Tomcat也不例外，如果浏览者可以在客户端浏览Web目录，可以看到用户名为admin，我们可以将其修改为一个陌生的用户;可以看到password后面为空密码，那将会存在较大

(3).禁止列表

我们知道在IIS中如果设置不当，就会列出Web当前目录中的所有文件，在Tomcat也不例外。如果浏览者可以在客户端浏览Web目录，那将会存在较大的安全隐患，因此我们要确认Tomcat的设置中禁止列目录。设置文件是web.xml，也在conf目录下。用记事本打开该文件，搜索init-param在其附近找到类似如下字段：　　

<init-param>　
<param-name>listings</param-name>　
<param-value>false</param-value>　
</init-param>

确认是false而不是true。(图9)

(4).用户管理

Tomcat的后台管理员为admin并且默认为空密码，安全期间我们需要修改该默认的用户名并为其设置健壮的密码。其配置文件为tomcat- users.xml，用记事本打开该文件然后进行修改。其中role标签表示其权限，manager说明是管理员权限;user标签表示后台管理用户，可以看到用户名为admin，我们可以将其修改为一个陌生的用户;可以看到password后面为空密码，我们可以为其设置一个复杂的密码。最后修改配置完成的tomcat-users.xml文件为：　

<?xml　version='1.0'　encoding='utf-8'?>　
<tomcat-users>　
　　　<role　rolename="manager"/>　
　　　<role　rolename="admin"/>　
　　　<user　username="gslw"　password="test168"　roles="admin,manager"/>　
</tomcat-users>