Tomcat安装及安全配置文档.docx

Tomcat安装及安全配置文档.docx

《Tomcat安装及安全配置文档.docx》由会员分享，可在线阅读，更多相关《Tomcat安装及安全配置文档.docx（14页珍藏版）》请在冰豆网上搜索。

Tomcat安装及安全配置文档

Tomcat安装及安全配置文档

目录

1.Tomcat安装2

1.1jdk安装及测试2

1.2Tomcat安装配置3

2.Tomcat中添加admin模块4

3.配置Tomcat服务器支持HTTPS5

3.1生成证书5

3.2配置Tomcat6

3.3Https访问6

4．如何在一台机子上启动两个TOMCAT6

5．Windows平台下tomcat安全设置7

6．Linux下Tomcat配置8

6.1所需的软件包8

6.2安装所需要软件8

6.3设置环境变量9

6.4编译生成mod_webapp.so9

6.5独立环境的测试10

6.6整合安装设置10

6.7整合测试11

1.Tomcat安装

1.1jdk安装及测试

第一步：

下载jdk和tomcat。

第二步：

安装和配置你的jdk和tomcat：

执行jdk和tomcat的安装程序，然后设置按照路径进行安装即可。

安装j2sdk以后，需要配置一下环境变量，在我的电脑->属性->高级->环境变量->系统变量中添加以下环境变量（假定你的jdk安装在c:

\jdk1.6）：

JAVA_HOME=c:

\jdk1.6

classpath=.;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;

（.;一定不能少，因为它代表当前路径）

path=%JAVA_HOME%\bin

接着可以写一个简单的java程序来测试JDK是否已安装成功：

publicclassTest{

publicstaticvoidmain（Stringargs[]）{

System.out.println（"Thisisatestprogram."）;}}

将上面的这段程序保存为文件名为Test.java的文件。

然后打开命令提示符窗口，cd到你的Test.java所在目录，然后键入下面的命令：

javacTest.java

javaTest

此时如果看到打印出来Thisisatestprogram.的话说明安装成功了，如果没有打印出这句话，你需要仔细检查一下你的配置情况。

1.2Tomcat安装配置

安装Tomcat后，在我的电脑->属性->高级->环境变量->系统变量中添加以下环境变量（假定你的tomcat安装在c:

\Tomcat）：

CATALINA_HOME:

C:

\Tomcat

CATALINA_BASE:

C:

\Tomcat

TOMCAT_HOME:

C:

\Tomcat

然后修改环境变量中的classpath，把tomat安装目录下的common\lib下的servlet.jar追加到classpath中去，修改后的classpath如下：

classpath=.;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;%CATALINA_HOME%\common\lib\servlet.jar;

接着可以启动tomcat，在IE中访问http:

//localhost:

8080，如果看到tomcat的欢迎页面的话说明安装成功了。

2.

Tomcat中添加admin模块

从tomcat5.5开始，admin模块已经不是默认内建在包里了，说明一下环境以及版本：

windowsXP，tomcat5.5.9,管理包也是tomcat5.5.9的对应版本。

1.首先下载tomcat5.5的admin管理包。

也可以从这个页面找到链接。

2.将管理包解压,解压后的文件夹包含conf,server以及其他三个文件，三个单独的文件可以不用管。

将\conf\Catalina\localhost\文件夹里面的admin.xml拷贝到你的【tomcat的安装目录】\conf\Catalina\localhost\文件夹里面，再将\server\webapps\文件夹里面的admin文件夹整个拷贝到【tomcat的安装目录】\server\webapps\文件夹中。

这样就安装完了。

3.要想管理模块能够顺利运行，那么还要保证一点：

确保设置了CATALINA_HOME这个系统环境变量，变量的值为你的tomcat的安装目录。

如果你不愿意设置环境变量，那么也有一个方法，就是将【tomcat的安装目录】\server\webapps\admin\admin.xml和【tomcat的安装目录】\conf\Catalina\localhost\admin.xml文件中antiResourceLocking="false"antiJARLocking="false">一行里的${catalina.home}改成你的tomcat的安装路径就可以了。

4.最后打开http:

//localhost:

8080/admin/就可以看见登陆界面了，然后用你安装tomcat时所设置的用户名密码登陆就可以了。

5.刚刚解压版的apache-tomcat-5.5.23，启动setup.bat后，通过浏览器访问：

http:

//127.0.0.1:

8080/admin

在登录界面输入用户名both和密码tomcat后出现下面的错误提示：

HTTPStatus403-Accesstotherequestedresourcehasbeendenied

--------------------------------------------------------------------------------

typeStatusreport

messageAccesstotherequestedresourcehasbeendenied

descriptionAccesstothespecifiedresource（Accesstotherequestedresourcehasbeendenied）hasbeenforbidden.

--------------------------------------------------------------------------------

ApacheTomcat/5.0.12

问题原因：

D:

\apache-tomcat-5.5.23\conf目录下的

tomcat-users.xml文件内容如下：

xmlversion='1.0'encoding='utf-8'?

>

问题修改：

将tomcat-users.xml文件内容改为

xmlversion='1.0'encoding='utf-8'?

>

重新启动Tomcat，在登录时使用用户名admin密码admin登录即可。

3.配置Tomcat服务器支持HTTPS

3.1生成证书

首先用jdk自带的工具keytool生成一个"服务器证书"。

C:

\ProgramFiles\Java\jre1.5.0_04\bin>keytool-genkey-aliassafetomcat-keyalgRSA-keystorec:

\leadsec-validity2000

输入keystore密码:

leadsec

您的名字与姓氏是什么？

[Unknown]：

10.50.10.188

您的组织单位名称是什么？

[Unknown]：

Lenovo

您的组织名称是什么？

[Unknown]：

Lenovo

您所在的城市或区域名称是什么？

[Unknown]：

Beijing

您所在的州或省份名称是什么？

[Unknown]：

Beijing

该单位的两字母国家代码是什么

[Unknown]：

CN

CN=10.50.10.188,OU=Lenovo,O=Lenovo,L=Beijing,ST=Beijing,C=CN

正确吗？

[否]：

y

输入的主密码（如果和keystore密码相同，按回车）：

经过上述操作后，获得文件c:

/Leadsec。

注意：

提示名字和姓氏时，应输入服务器的DNS域名或者IP地址，否则，客户端会弹出警告窗口。

"站点不符"

另外，因为是自签名的证书，客户端会弹出“非信任的机构颁发”，这时可以点击“继续”，或者安装该证书，确认自己的信任。

建立服务器证书。

3.2配置Tomcat

找到tomcat的server配置文件，位置是Tomcat5.5\conf\server.xml。

修改server.xml文件中增加类似这样的语句：

port="8888"minProcessors="5"maxProcessors="75"

enableLookups="true"disableUploadTimeout="true"

acceptCount="100"debug="0"scheme="https"secure="true"

clientAuth="false"sslProtocol="TLS"keystoreFile="C:

/leadsec"keystorePass="leadsec"/>

注意：

端口可以自行设置，但不能和已有的设置冲突。

一般默认为8443。

keystoreFile和keystorePass必须与上一步建立的证书一致。

3.3Https访问

重启Tomcat,访问https:

//localhost:

8888/。

通过Https访问tomcat

详细配置可以访问：

http:

//tomcat.apache.org/tomcat-5.0-doc/ssl-howto.html。

4．如何在一台机子上启动两个TOMCAT

比如：

有两个版本的tomcat，一个5.*,一个6.*，此时由于两个工程分别部署在两个

版本的tomcat下，需要同时启动两个tomcat，以下是方法：

1.特别要注意：

不要设置CATALINA_HOME

2.分别修改安装目录下的conf子目录中的server.xml文件：

a.修改http访问端口（默认为8080端口，我习惯在安装的时候就改成别的端口号，比如5.*改成8081，6.*改成8086），将8080修改为tomcat不在使用的端口号。

此处所设的端口号即是以后访问web时所用的端口号。

b.修改其中一个tomcat的Shutdown端口（在server.xml中，默认为8005端口），将8005修改为没有在使用的端口号，例如8055。

c.修改其中一个tomcat的8009端口，将8009修改为没有在使用的端口号，（也在server.xml中修改）例如8099（注意：

两个文件中对应的端口号要不一样）

3.依次启动两个tomcat。

可以都在eclipse中启动（比如我的tomcat5.0是插件版本的，在eclipse有一个猫，而另一个6.0版本的是通过myeclipse在windows--perfrences--...配置），也可以通过对应的startup.bat启动，还可以一个用elipse启动，另一个通过startup.bat启动。

5．Windows平台下tomcat安全设置

Tomcat是一个世界上广泛使用的支持JSP和servlets的Web服务器。

它在JAVA运行时上能够很好地运行并支持Web应用部署。

运行Tomcat很简单；到Tomcat网站下载安装程序就可进行Tomcat的安装。

没有人对Tomcat的危险性有透彻的了解。

TomcatWeb应用程序的主要安全风险存在于以下方面：

Tomcat的JSP或JSP内调用的bean能够实施下列高风险性任务：

•运行一个Windows系统环境下的程序

•读取任意文件夹内任何文件的内容

•删除任意文件夹中的文件

•在任意文件夹内创建新文件

虽然Tomcat确实提供了很多的安全性，但是由于以下因素而显示了其漏洞：

1.安装后，Tomcat作为一个系统服务运行。

2.如果没有将其作为系统服务运行，缺省地几乎所有Web服务器管理员都是将其以Administrator权限运行。

这两种方式都允许Java运行时访问Windows系统下任意文件夹中的任何文件。

缺省情况下，Java运行时根据运行它的用户授予安全权限。

当Tomcat以系统管理员身份或作为系统服务运行时，Java运行时取得了系统用户或系统管理员所具有的全部权限。

这样一来，Java运行时就取得了所有文件夹中所有文件的全部权限。

并且Servlets（JSP在运行过程中要转换成Servlets）取得了同样的权限。

所以Java代码可以调用JavaSDK中的文件API列出文件夹中的全部文件，删除任何文件，最大的危险在于以系统权限运行一个程序。

当任一Servlets含有如下代码：

Runtimert=Runtime.getRuntime（）;

rt.exec（"c:

\\SomeDirectory\\SomeUnsafeProgram.exe"）

这就是最大的危险，并且很多人都未认识到这点。

确保Tomcat安全的途径

首先，新建一个帐户

1.用"ITOMCAT_计算机名"建立一个普通用户

2.为其设置一个密码

3.保证"密码永不过期"（PasswordNeverExpires）被选中

修改Tomcat安装文件夹的访问权限

1.选定环境参数CATALINA_HOME或TOMCAT_HOME指向的Tomcat安装文件夹。

2.为"ITOMCAT_计算机名"用户赋予读、写、执行的访问权限。

3.为"ITOMCAT_计算机名"用户赋予对WebApps文件夹的只读访问权限。

4.如果某些Web应用程序需要写访问权限，单独为其授予对那个文件夹的写访问权限。

当你需要Tomcat作为系统服务运行时，采取以下步骤：

1.到"控制面板"，选择"管理工具"，然后选择"服务"。

2.找到Tomcat：

比如ApacheTomcat.exe等等，打开其"属性"。

3.选择其"登录"（Log）标签。

4.选择"以...登录"（LogONUsing）选项。

5.键入新建的"ITOMCAT_计算机名"用户作为用户名。

6.输入密码。

7.重启机器。

当你需要在一个DOS窗口下运行Tomcat时，采取以下步骤：

1.在"开始"按钮的"运行"框中键入CMD以打开一个DOS窗口。

2.键入"RunAs/user：

ITOMCAT_计算机名CMD.exe"命令。

3.在询问"ITOMCAT_计算机名"用户的密码时输入设置的密码。

4.这将打开一个新的DOS窗口。

5.在新开的DOS窗口中，转换到Tomcat的bin文件夹内。

6.键入"catalinarun"命令。

7.关闭第一个DOS窗口。

以"ITOMCAT_计算机名"用户在新的DOS窗口内运行只授予该用户相应的权限；当你在这个新的DOS窗口中运行Tomcat时，它只取得了这个选定用户的权限。

这样Tomcat就安全了。

6．Linux下Tomcat配置

6.1所需的软件包

　　j2sdk-1_4_1_02-linux-i586.bin（jdk1.4.1）

　　Apache2.0.40（RedHatLinux8.0自带）

　　jakarta-tomcat-4.1.24.tar.gz（tomcat4.1.24）

　　jakarta-tomcat-connectors-4.1.24-src.tar.gz（connectors4.1.24）

6.2安装所需要软件

（1）首先将除apache以外的三个文件拷贝到/usr/local目录

　./j2sdk-1_4_1_02-linux-i586.bin

##将jdk解到local下生成对应的目录

（2）tarzxpfjakarta-tomcat-4.1.24.tar.gz

##将tomcat解到local下生成对应的目录

（3）tarzxpfjakarta-tomcat-connectors-4.1.24-src.tar.gz

##将connectors解到local下生成对应的目录

6.3设置环境变量

　　vi/etc/profile##编辑/etc/profile

在文件结尾加入：

##注意其中的jakarta-tomcat,jdk要设成本机器相对应的目录视版本而定

PATH="$PATH:

/usr/local/jakarta-tomcat/bin:

/usr/local/jdk/bin:

/usr/local/jdk/jre/bin"

JAVA_HOME=/usr/local/jdk

exportJAVA_HOME

JRE_HOME=/usr/local/jdk/jre

exportJRE_HOME

TOMCAT_HOME=/usr/local/jakarta-tomcat

exportTOMCAT_HOME

CLASSPATH=/usr/local/jdk/lib:

/usr/local/jdk/jre/lib

exportCLASSPATH

6.4编译生成mod_webapp.so

cd/usr/local/jakarta-tomcat-connectors-4.1.24-src/webapp

##进入指定的目录

　　./support/buildconf.sh

##生成编译配置文件

　　./configure--with-apxs

##生成Makefile编译文件

　　（插曲:

若此时提示找不到apxs,则证明你的Apache在安装的时候,未安装Apache附加的开发包,请下载安装该开发包,则会解决该问题,这个包在RedHat8安装盘的第三张里面，文件名是:

httpd-devel-2.0.40-8.i386.rpm）

　　make

##编译生成mod_webapp.so,生成的mod_webapp.so文件在apache-2.0目录中

　　把apache-2.0目录中的mod_webapp.so文件复制到目录/usr/lib/httpd/modules

　　并检查文件/usr/lib/httpd/modules/mod_webapp.so的属性,应与其它Modules文件属性一致,如果不相同,则使用chmodchgrpchown来修改

6.5独立环境的测试

（1）测试Java的运行状况,如下命令:

　　　java-version

　　　javac-version

　　　　看到版本号则表示JDK安装成功

（2）测试Apache的运行状况,如下命令:

　　/etc/rc.d/init.d/httpdrestart##重新启动ApacheServer

使用任意一浏览器,输入服务器地址后回车,应该可以看到Apache的默认主页

　　（3）测试Jakarta-Tomcat的运行状况,如下命令:

进入tomcat安装目录下面的bin目录

　　./startup.sh##启动jakarta-tomcat-4.1.24服务

使用任意一浏览器,输入服务器地址和端口号8080后回车,应该可以看到jakarta-tomcat-4.1.24的默认主页

　　例如:

http:

//localhost:

8080

　　./shutdown.sh##关闭jakarta-tomcat-4.1.24服务

6.6整合安装设置

（1）修改/etc/httpd/conf/httpd.conf文件

　　　　##DynamicSharedObject（DSO）Support之后,添加如下内容

　　　　LoadModulewebapp_modulemodules/mod_webapp.so

（2）测试配置和Modules,执行以下命令

　　　　apachectlconfigtest

　　　　##如果出现SyntaxOK,则证明Module安装和配置成功了

　　（3）修改/etc/httpd/conf/httpd.conf文件

在文件尾部添加如下内容

WebAppConnectionwarpConnectionwarplocalhost:

8008

WebAppDeployexampleswarpConnection/examples/

指定tomcat与apache的连接，通过8008端口；第四行指定部署那个应用，这两个指令使用格式如下：

WebAppConnection[connectionname][provider][host:

port]

WebAppDeploy[applicationname][connectionname][urlpath]

其中connectionname指定连接名，provider只能是warp，port端口与你的tomcat的配置文件server.xml最后几行指定的要保持一致；

applicationname与你在tomcat中部署的应用名一致，urlpath指定访问这个应用的url。

例如上面的例子可以通过http:

//localhost/examples/来访问