Tomcat安裝及安全配置文檔

1、Tomcat安裝及安全配置文檔目錄1.Tomcat安裝21.1 jdk安裝及測試21.2 Tomcat安裝配置32.Tomcat中添加admin模塊43.配置Tomcat服務(wù)器支持HTTPS53.1 生成證書53.2 配置Tomcat63.3 Https訪問64如何在一臺機(jī)子上啟動兩個TOMCAT65Windows平臺下tomcat安全設(shè)置76Linux下Tomcat配置86.1 所需的軟件包86.2 安裝所需要軟件86.3 設(shè)置環(huán)境變量96.4 編譯生成mod_webapp.so96.5 獨(dú)立環(huán)境的測試106.6 整合安裝設(shè)置106.7 整合測試111. Tomcat安裝1.1 jdk安裝及

2、測試第一步：下載jdk和tomcat。第二步：安裝和配置你的jdk和tomcat：執(zhí)行jdk和tomcat的安裝程序，然后設(shè)置按照路徑進(jìn)行安裝即可。安裝j2sdk以后，需要配置一下環(huán)境變量，在我的電腦->屬性->高級->環(huán)境變量->系統(tǒng)變量中添加以下環(huán)境變量(假定你的jdk安裝在c:jdk1.6）：JAVA_HOME=c:jdk1.6classpath=. ;%JAVA_HOME%libdt.jar;%JAVA_HOME%libtools.jar;（.;一定不能少，因?yàn)樗懋?dāng)前路徑)path=%JAVA_HOME%bin接著可以寫一個簡單的java程序來測試JDK是否

3、已安裝成功：public class Testpublic static void main(String args)System.out.println("This is a test program.");將上面的這段程序保存為文件名為Test.java的文件。然后打開命令提示符窗口，cd到你的Test.java所在目錄，然后鍵入下面的命令 ：javac Test.javajava Test 此時如果看到打印出來This is a test program.的話說明安裝成功了，如果沒有打印出這句話，你需要仔細(xì)檢查一下你的配置情況。1.2 Tomcat安裝配置安裝Tomc

4、at后，在我的電腦->屬性->高級->環(huán)境變量->系統(tǒng)變量中添加以下環(huán)境變量(假定你的tomcat安裝在c: Tomcat）：CATALINA_HOME: C: TomcatCATALINA_BASE: C: TomcatTOMCAT_HOME: C:Tomcat然后修改環(huán)境變量中的classpath，把tomat安裝目錄下的commonlib下的servlet.jar追加到classpath中去，修改后的classpath如下：classpath=.;%JAVA_HOME%libdt.jar;%JAVA_HOME%libtools.jar;%CATALINA_HOME

5、%commonlibservlet.jar;接著可以啟動tomcat，在IE中訪問http:/localhost:8080，如果看到tomcat的歡迎頁面的話說明安裝成功了。2. Tomcat中添加admin模塊從tomcat5.5開始，admin模塊已經(jīng)不是默認(rèn)內(nèi)建在包里了， 說明一下環(huán)境以及版本：windows XP ，tomcat5.5.9 , 管理包也是tomcat5.5.9的對應(yīng)版本。1.首先下載tomcat5.5的admin管理包。也可以從這個頁面找到鏈接。2.將管理包解壓,解壓后的文件夾包含conf,server以及其他三個文件，三個單獨(dú)的文件可以不用管。將confCatalin

6、alocalhost文件夾里面的admin.xml拷貝到你的【tomcat的安裝目錄】confCatalinalocalhost文件夾里面，再將serverwebapps文件夾里面的admin文件夾整個拷貝到【tomcat的安裝目錄】serverwebapps文件夾中。這樣就安裝完了。3.要想管理模塊能夠順利運(yùn)行，那么還要保證一點(diǎn)：確保設(shè)置了CATALINA_HOME這個系統(tǒng)環(huán)境變量，變量的值為你的tomcat的安裝目錄。如果你不愿意設(shè)置環(huán)境變量，那么也有一個方法，就是將【tomcat的安裝目錄】serverwebappsadminadmin.xml和【tomcat的安裝目錄】confCata

7、linalocalhostadmin.xml文件中antiResourceLocking="false" antiJARLocking="false">一行里的$catalina.home改成你的tomcat的安裝路徑就可以了。4.最后打開http:/localhost:8080/admin/就可以看見登陸界面了，然后用你安裝tomcat時所設(shè)置的用戶名密碼登陸就可以了。5.剛剛解壓版的apache-tomcat-5.5.23，啟動setup.bat后，通過瀏覽器訪問：:8080/admin在登錄界面輸入用戶名 bot

8、h 和密碼 tomcat 后出現(xiàn)下面的錯誤提示：HTTP Status 403 - Access to the requested resource has been denied-type Status reportmessage Access to the requested resource has been denieddescription Access to the specified resource (Access to the requested resource has been denied) has been forbidden.-Apache Tomcat/5.0.1

9、2問題原因：D:apache-tomcat-5.5.23conf 目錄下的tomcat-users.xml 文件內(nèi)容如下：<?xml version='1.0' encoding='utf-8'?> <tomcat-users> <role rolename="tomcat"/> <role rolename="role1"/> <user username="tomcat" password="tomcat" roles=&qu

10、ot;tomcat"/> <user username="role1" password="tomcat" roles="role1"/> <user username="both" password="tomcat" roles="tomcat,role1"/> </tomcat-users> 問題修改：將tomcat-users.xml 文件內(nèi)容改為<?xml version='1.0' encod

11、ing='utf-8'?> <tomcat-users> <role rolename="tomcat"/> <role rolename="role1"/> <strong><role rolename="manager"/> <role rolename="admin"/> <user username="admin" password="admin" roles=&quo

12、t;admin,manager"/> </strong> <user username="tomcat" password="tomcat" roles="tomcat"/> <user username="role1" password="tomcat" roles="role1"/> <user username="both" password="tomcat" roles=

13、"tomcat,role1"/> </tomcat-users> 重新啟動Tomcat ，在登錄時使用 用戶名admin 密碼 admin 登錄即可。3. 配置Tomcat服務(wù)器支持HTTPS3.1 生成證書首先用jdk自帶的工具keytool生成一個"服務(wù)器證書"。C:Program FilesJavajre1.5.0_04bin> keytool -genkey -alias safetomcat -keyalg RSA -keystore c:leadsec -validity 2000輸入keystore密碼: leads

14、ec您的名字與姓氏是什么？ Unknown： 88您的組織單位名稱是什么？ Unknown：Lenovo您的組織名稱是什么？ Unknown：Lenovo您所在的城市或區(qū)域名稱是什么？ Unknown：Beijing您所在的州或省份名稱是什么？ Unknown：Beijing該單位的兩字母國家代碼是什么 Unknown：CNCN=88, OU= Lenovo, O= Lenovo, L=Beijing, ST=Beijing, C=CN 正確嗎？ 否：y輸入< safetomcat >的主密碼（如果和 keystore 密碼相同，按回車）：經(jīng)

15、過上述操作后，獲得文件c:/Leadsec。注意： 提示名字和姓氏時，應(yīng)輸入服務(wù)器的DNS域名或者IP地址，否則，客戶端會彈出警告窗口。"站點(diǎn)不符" 另外，因?yàn)槭亲院灻淖C書，客戶端會彈出“非信任的機(jī)構(gòu)頒發(fā)”，這時可以點(diǎn)擊“繼續(xù)”，或者安裝該證書，確認(rèn)自己的信任。建立服務(wù)器證書。3.2 配置Tomcat 找到tomcat的server配置文件，位置是Tomcat 5.5confserver.xml。修改server.xml文件中增加類似這樣的語句：<Connector className="org.apache.coyote.tomcat5.CoyoteCo

16、nnector" port="8888" minProcessors="5" maxProcessors="75" enableLookups ="true" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true" clientAuth="false"sslProtocol=

17、"TLS" keystoreFile="C:/leadsec" keystorePass = "leadsec" /> 注意：端口可以自行設(shè)置，但不能和已有的設(shè)置沖突。一般默認(rèn)為8443。keystoreFile和keystorePass必須與上一步建立的證書一致。3.3 Https訪問重啟Tomcat,訪問https:/localhost:8888/。通過Https訪問tomcat詳細(xì)配置可以訪問：/tomcat-5.0-doc/ssl-howto.html。4如何在一臺機(jī)子上啟動

18、兩個TOMCAT 比如：有兩個版本的tomcat，一個5.*,一個6.*，此時由于兩個工程分別部署在兩個版本的tomcat下，需要同時啟動兩個tomcat，以下是方法：1. 特別要注意：不要設(shè)置CATALINA_HOME 2. 分別修改安裝目錄下的conf子目錄中的server.xml文件： a. 修改http訪問端口（默認(rèn)為8080端口，我習(xí)慣在安裝的時候就改成別的端口號，比如5.*改成8081，6.*改成8086），將8080修改為tomcat不在使用的端口號。此處所設(shè)的端口號即是以后訪問web時所用的端口號。 b. 修改其中一個tomcat的Shutdown端口（在server.xml中

19、，默認(rèn)為8005端口），將8005修改為沒有在使用的端口號，例如8055。 c. 修改其中一個tomcat的8009端口，將8009修改為沒有在使用的端口號，（也在server.xml中修改）例如8099（注意：兩個文件中對應(yīng)的端口號要不一樣） 3. 依次啟動兩個tomcat?？梢远荚趀clipse中啟動（比如我的tomcat5.0是插件版本的，在eclipse有一個貓，而另一個6.0版本的是通過myeclipse在windows-perfrences-.配置），也可以通過對應(yīng)的startup.bat啟動，還可以一個用elipse啟動，另一個通過startup.bat啟動。5Windows平臺

20、下tomcat安全設(shè)置 Tomcat是一個世界上廣泛使用的支持JSP和servlets的Web服務(wù)器。它在JAVA運(yùn)行時上能夠很好地運(yùn)行并支持Web應(yīng)用部署。 運(yùn)行Tomcat很簡單；到Tomcat網(wǎng)站下載安裝程序就可進(jìn)行Tomcat的安裝。沒有人對Tomcat的危險性有透徹的了解。Tomcat Web應(yīng)用程序的主要安全風(fēng)險存在于以下方面： Tomcat的JSP或JSP內(nèi)調(diào)用的bean能夠?qū)嵤┫铝懈唢L(fēng)險性任務(wù)： 運(yùn)行一個Windows系統(tǒng)環(huán)境下的程序 讀取任意文件夾內(nèi)任何文件的內(nèi)容 刪除任意文件夾中的文件 在任意文件夾內(nèi)創(chuàng)建新文件 雖然Tomcat確實(shí)提供了很多的安全性，但是由于以下因素而顯示

21、了其漏洞： 1. 安裝后，Tomcat作為一個系統(tǒng)服務(wù)運(yùn)行 。2. 如果沒有將其作為系統(tǒng)服務(wù)運(yùn)行，缺省地幾乎所有Web服務(wù)器管理員都是將其以Administrator權(quán)限運(yùn)行 。這兩種方式都允許Java運(yùn)行時訪問Windows系統(tǒng)下任意文件夾中的任何文件。缺省情況下，Java運(yùn)行時根據(jù)運(yùn)行它的用戶授予安全權(quán)限。當(dāng)Tomcat以系統(tǒng)管理員身份或作為系統(tǒng)服務(wù)運(yùn)行時，Java運(yùn)行時取得了系統(tǒng)用戶或系統(tǒng)管理員所具有的全部權(quán)限。這樣一來，Java運(yùn)行時就取得了所有文件夾中所有文件的全部權(quán)限。并且Servlets(JSP在運(yùn)行過程中要轉(zhuǎn)換成Servlets)取得了同樣的權(quán)限。所以Java代碼可以調(diào)用Jav

22、a SDK中的文件API列出文件夾中的全部文件，刪除任何文件，最大的危險在于以系統(tǒng)權(quán)限運(yùn)行一個程序。當(dāng)任一Servlets含有如下代碼： Runtime rt = Runtime.getRuntime(); rt.exec("c:SomeDirectorySomeUnsafeProgram.exe") 這就是最大的危險，并且很多人都未認(rèn)識到這點(diǎn)。 確保Tomcat安全的途徑 首先，新建一個帳戶 1. 用"ITOMCAT_計(jì)算機(jī)名"建立一個普通用戶 2. 為其設(shè)置一個密碼 3. 保證"密碼永不過期"(Password Never Exp

23、ires)被選中 修改Tomcat安裝文件夾的訪問權(quán)限 1. 選定環(huán)境參數(shù)CATALINA_HOME或TOMCAT_HOME指向的Tomcat安裝文件夾。 2. 為"ITOMCAT_計(jì)算機(jī)名"用戶賦予讀、寫、執(zhí)行的訪問權(quán)限。 3. 為"ITOMCAT_計(jì)算機(jī)名"用戶賦予對WebApps文件夾的只讀訪問權(quán)限。 4. 如果某些Web應(yīng)用程序需要寫訪問權(quán)限，單獨(dú)為其授予對那個文件夾的寫訪問權(quán)限。 當(dāng)你需要Tomcat作為系統(tǒng)服務(wù)運(yùn)行時，采取以下步驟： 1. 到"控制面板"，選擇"管理工具"，然后選擇"服務(wù)&qu

24、ot;。 2. 找到Tomcat：比如Apache Tomcat.exe等等，打開其"屬性"。 3. 選擇其"登錄"(Log)標(biāo)簽。 4. 選擇"以.登錄"(Log ON Using)選項(xiàng)。 5. 鍵入新建的"ITOMCAT_計(jì)算機(jī)名"用戶作為用戶名。 6. 輸入密碼。 7. 重啟機(jī)器。 當(dāng)你需要在一個DOS窗口下運(yùn)行Tomcat時，采取以下步驟： 1. 在"開始"按鈕的"運(yùn)行"框中鍵入CMD以打開一個DOS窗口。 2. 鍵入"RunAs /user：ITOMCAT

25、_計(jì)算機(jī)名 CMD.exe"命令。 3. 在詢問"ITOMCAT_計(jì)算機(jī)名"用戶的密碼時輸入設(shè)置的密碼。 4. 這將打開一個新的DOS窗口。 5. 在新開的DOS窗口中，轉(zhuǎn)換到Tomcat的bin文件夾內(nèi)。 6. 鍵入"catalina run"命令。 7. 關(guān)閉第一個DOS窗口。 以"ITOMCAT_計(jì)算機(jī)名"用戶在新的DOS窗口內(nèi)運(yùn)行只授予該用戶相應(yīng)的權(quán)限；當(dāng)你在這個新的DOS窗口中運(yùn)行Tomcat時，它只取得了這個選定用戶的權(quán)限。這樣Tomcat就安全了。 6Linux下Tomcat配置6.1 所需的軟件包 j2sdk

26、-1_4_1_02-linux-i586.bin(jdk1.4.1) Apache2.0.40 (Red Hat Linux8.0自帶) jakarta-tomcat-4.1.24.tar.gz(tomcat4.1.24) jakarta-tomcat-connectors-4.1.24-src.tar.gz(connectors4.1.24) 6.2 安裝所需要軟件 (1) 首先將除apache以外的三個文件拷貝到/usr/local目錄 ./j2sdk-1_4_1_02-linux-i586.bin #將jdk解到local下生成對應(yīng)的目錄 (2) tar zxpf jakarta-tom

27、cat-4.1.24.tar.gz #將tomcat解到local下生成對應(yīng)的目錄 (3) tar zxpf jakarta-tomcat-connectors-4.1.24-src.tar.gz #將connectors解到local下生成對應(yīng)的目錄 6.3 設(shè)置環(huán)境變量 vi /etc/profile # 編輯 /etc/profile 在文件結(jié)尾加入： #注意其中的jakarta-tomcat,jdk要設(shè)成本機(jī)器相對應(yīng)的目錄視版本而定 PATH="$PATH:/usr/local/jakarta-tomcat/bin:/usr/local/jdk/bin:/usr/local/

28、jdk/jre/bin" JAVA_HOME=/usr/local/jdk export JAVA_HOME JRE_HOME=/usr/local/jdk/jre export JRE_HOME TOMCAT_HOME=/usr/local/jakarta-tomcat export TOMCAT_HOME CLASSPATH=/usr/local/jdk/lib:/usr/local/jdk/jre/lib export CLASSPATH 6.4 編譯生成mod_webapp.so cd /usr/local/jakarta-tomcat-connectors-4.1.24-s

29、rc/webapp # 進(jìn)入指定的目錄 ./support/buildconf.sh # 生成編譯配置文件 ./configure -with-apxs # 生成Makefile編譯文件 (插曲:若此時提示找不到apxs,則證明你的Apache在安裝的時候,未安裝Apache附加的開發(fā)包,請下載安裝該開發(fā)包,則會解決該問題,這個包在RedHat8安裝盤的第三張里面，文件名是:httpd-devel-2.0.40-8.i386.rpm) make # 編譯生成mod_webapp.so,生成的mod_webapp.so文件在apache-2.0目錄中 把a(bǔ)pache-2.0目錄中的mod_web

30、app.so文件復(fù)制到目錄/usr/lib/httpd/modules 并檢查文件/usr/lib/httpd/modules/mod_webapp.so的屬性,應(yīng)與其它Modules文件屬性一致,如果不相同,則使用chmod chgrp chown來修改 6.5 獨(dú)立環(huán)境的測試 (1) 測試Java的運(yùn)行狀況,如下命令: java -version javac -version 看到版本號則表示JDK安裝成功 (2) 測試Apache的運(yùn)行狀況,如下命令: /etc/rc.d/init.d/httpd restart # 重新啟動Apache Server 使用任意一瀏覽器,輸入服務(wù)器地址后

31、回車,應(yīng)該可以看到Apache的默認(rèn)主頁 (3) 測試Jakarta-Tomcat的運(yùn)行狀況,如下命令: 進(jìn)入tomcat安裝目錄下面的bin目錄 ./startup.sh # 啟動jakarta-tomcat-4.1.24服務(wù) 使用任意一瀏覽器,輸入服務(wù)器地址和端口號8080后回車,應(yīng)該可以看到j(luò)akarta-tomcat-4.1.24的默認(rèn)主頁 例如: http:/localhost:8080 ./shutdown.sh # 關(guān)閉jakarta-tomcat-4.1.24服務(wù) 6.6 整合安裝設(shè)置 (1) 修改/etc/httpd/conf/httpd.conf文件 # Dynamic S

32、hared Object (DSO) Support之后,添加如下內(nèi)容 LoadModule webapp_module modules/mod_webapp.so (2) 測試配置和Modules,執(zhí)行以下命令 apachectl configtest #如果出現(xiàn)Syntax OK,則證明Module安裝和配置成功了 (3) 修改/etc/httpd/conf/httpd.conf文件 在文件尾部添加如下內(nèi)容 WebAppConnection warpConnection warp localhost:8008 WebAppDeploy examples warpConnection /examples/ 指定tomcat與apache的連接，通過8008端口；第四行指定部署那個應(yīng)用，這兩個指令使用格式如下： WebAppConnection connection name provider host:port WebAppDeploy application name connection name url path 其中connection name指定連接名，provi