Tomcat 5.5.x 配置集锦 (续)

    技术2022-05-11  12

    接 : Tomcat 5.5.x 配置集锦(x表示4,5,.6,7) 12.如果你的webapp需要只能够进行https方式访问,那么在webapp的web.xml里加上:  <security-constraint>   <web-resource-collection>    <web-resource-name>must https</web-resource-name>    <url-pattern>/lizongbo/*</url-pattern>   </web-resource-collection>   <user-data-constraint>    <transport-guarantee>CONFIDENTIAL</transport-guarantee>   </user-data-constraint>  </security-constraint> 参考: http://jakarta.apache.org/tomcat/faq/security.html#https http://marc.theaimsgroup.com/?l=tomcat-user&m=104951559722619&w=2 13.修改远程关闭服务器的命令。 server.xml默认有下面一行: <Server port='8005' shutdown='SHUTDOWN'> 这样允许任何人只要telnet到服务器的8005端口,输入'SHUTDOWN',然后回车,服务器立即就被关掉了。 从安全的角度上考虑,我们需要把这个shutdown指令改成一个别人不容易猜测的字符串。 例如修改如下: <Server port='8006' shutdown='lizongbo'>,这样就只有在telnet到8006,并且输入'lizongbo'才能够关闭Tomcat. 注意:这个修改不影响shutdown.bat的执行。运行shutdown.bat一样可以关闭服务器。 参考: http://jakarta.apache.org/tomcat/faq/security.html#8005     以下皆可以参考: http://www.cnjsp.org/document/user/tuman/valve.html     14.配置http访问日志。Tomcat自带的能够记录的http访问日志已经很详细了 取消下面这段的注释:           <Valve className='org.apache.catalina.valves.AccessLogValve'                  directory='logs'  prefix='localhost_access_log.' suffix='.txt'                  pattern='common' resolveHosts='false'/>   然后修改为:         <Valve className='org.apache.catalina.valves.FastCommonAccessLogValve'                  directory='logs'  prefix='localhost_access_log.' suffix='.txt'                  pattern='combined' resolveHosts='false' fileDateFormat='yyyy-MM-dd.HH'/>   pattern='combined' 记录的日志内容更详细,fileDateFormat='yyyy-MM-dd.HH',会让日志文件按小时进行滚卷, 比默认的按天滚卷要好些,尤其是访问量大的网站,可以考虑写成fileDateFormat='yyyy-MM-dd.HH.mm',就会是每分钟一个日志文件了。 而且可以分别按 Engine, Host, or Context,来记录自己的日志 详情参考: http://jakarta.apache.org/tomcat/tomcat-5.5-doc/config/valve.html http://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/logger.html http://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/host.html#Access Logs 而且还可以配合 awstats来进行日志统计分析: http://www.chedong.com/tech/awstats.html   15.限制ip,限制主机访问等。 如果想禁止指定的ip或者主机名来拒绝某些机器访问,或者指定某些机器来访问。 也支持分别按 Engine, Host, or Context,进行以下配置: <Context path='/examples' ...>  ...   <Valve className='org.apache.catalina.valves.RemoteHostValve'          allow='*.mycompany.com,www.yourcompany.com'/>   <Valve className='org.apache.catalina.valves.RemoteAddrValve'          deny='192.168.1.*'/> </Context> 参考: http://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/context.html   16.发布webapp到网站根目录 1。直接复制到ROOT目录下。 2.因为无法创建无名字的xml文件,并且在xml文件里指定path也是无效的(tomcat靠文件名字来判断的), 因此必须在server.xml里写下面一段: <Context docBase='${catalina.home}/vhost/www.lizongbo.com' path='/'          privileged='true' antiResourceLocking='false' antiJARLocking='false'> <Manager className='org.apache.catalina.session.StandardManager' algorithm='SHA-512' entropy='suijisifuchuansuijisifuchuansuijisifuchuansuijisifuchuan' maxActiveSessions='800' />         <Valve className='org.apache.catalina.valves.FastCommonAccessLogValve'                  directory='logs'  prefix='localhost_mytest_access_log.' suffix='.txt'                  pattern='combined' resolveHosts='true' fileDateFormat='yyyy-MM-dd.HH'/>          </Context> 而且必须把ROOT目录删除掉,否则Tomcat还是优先部署ROOT目录为'/'。   17.在重新启动Tomcat的webapp的时候,禁止把session写入文件。 修改conf/web.xml 取消注释:  <!---->     <Manager pathname='' />   18.增强SessiionID的生成算法和长度。            <Manager className='org.apache.catalina.session.StandardManager' algorithm='SHA-512' sessionIdLength='40'>          </Manager>   (默认的是MD5,长度是16位。)   19.配置日志:( http://jakarta.apache.org/tomcat/tomcat-5.5-doc/logging.html)   在D:/jakarta-tomcat-5.5.8/common/classes/新建log4j.properties   内容: log4j.rootLogger=debug, R log4j.appender.R=org.apache.log4j.RollingFileAppender log4j.appender.R.File=${catalina.home}/logs/tomcat5.5.log log4j.appender.R.MaxFileSize=10MB log4j.appender.R.MaxBackupIndex=10 log4j.appender.R.layout=org.apache.log4j.PatternLayout log4j.appender.R.layout.ConversionPattern=%p %t %c - %m%n log4j.logger.org.apache.catalina=DEBUG, R log4j.logger.org.apache.catalina.core.ContainerBase.Catalina.localhost=DEBUG, R log4j.logger.org.apache.catalina.core=DEBUG, R log4j.logger.org.apache.catalina.session=DEBUG, R 复制log4j-1.2.9.jar和commons-logging.jar到 D:/jakarta-tomcat-5.5.8/common/lib   20.使用windows域用户验证   http://jcifs.samba.org/src/docs/ntlmhttpauth.html

    最新回复(0)