Basic Tomcat Info
Try Hard Security Group
避免以root身份运行
为了避免以root身份运行Tomcat,一个非常常见的配置是在端口80/443上设置一个Apache服务器,如果请求的路径与正则表达式匹配,则将请求发送到在不同端口上运行的Tomcat。
默认结构
bin文件夹存储启动和运行Tomcat服务器所需的脚本和二进制文件。conf文件夹存储Tomcat使用的各种配置文件。tomcat-users.xml文件存储用户凭据及其分配的角色。lib文件夹保存Tomcat正确运行所需的各种JAR文件。logs和temp文件夹存储临时日志文件。webapps文件夹是Tomcat的默认Web根目录,托管所有应用程序。work文件夹充当缓存,用于在运行时存储数据。
预计webapps内的每个文件夹具有以下结构。
最重要的文件之一是WEB-INF/web.xml,也被称为部署描述符。该文件存储了应用程序使用的路由信息以及处理这些路由的类。
应用程序使用的所有编译类都应存储在WEB-INF/classes文件夹中。这些类可能包含重要的业务逻辑以及敏感信息。这些文件中的任何漏洞都可能导致网站被完全攻陷。lib文件夹存储了该特定应用程序所需的库。jsp文件夹存储了Jakarta Server Pages (JSP),以前被称为JavaServer Pages,可以与Apache服务器上的PHP文件进行比较。
以下是一个web.xml文件示例。
文件显示了每个角色manager-gui、manager-script、manager-jmx和manager-status提供的访问权限。在这个示例中,我们可以看到一个名为tomcat,密码为tomcat的用户具有manager-gui角色,另外一个弱密码admin被设置给了用户账户admin
参考
Try Hard Security Group
最后更新于