如何阻止 Tomcat 提供对文件的访问？

Question 1

Tomcat 的文件访问由 WEB-INF/web.xml 的安全约束部分控制。

您可以通过conf以下方式进行阻止：

<security-constraint>
    <web-resource-collection>
        <web-resource-name>HTTP-Protected-Resource-1</web-resource-name>
        <description>Description here</description>
        <url-pattern>/conf/*</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
        <role-name>NOSOUPFORYOU</role-name>
    </auth-constraint>
</security-constraint>

<login-config>
    <auth-method>DEFAULT</auth-method>
    <realm-name>NOACCESSFORANYONE</realm-name>
</login-config>
<security-role>
    <role-name>NOSOUPFORYOU</role-name>
</security-role>

如果您使用 apache 提供静态内容，则此方法将不起作用，因为 apache 将在 tomcat 获取 URL 之前提供 conf 文件。在这种情况下，您需要通过 apache 的 http 配置文件来解决这个问题。

Answer

Tomcat 的文件访问由 WEB-INF/web.xml 的安全约束部分控制。

您可以通过conf以下方式进行阻止：

<security-constraint>
    <web-resource-collection>
        <web-resource-name>HTTP-Protected-Resource-1</web-resource-name>
        <description>Description here</description>
        <url-pattern>/conf/*</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
        <role-name>NOSOUPFORYOU</role-name>
    </auth-constraint>
</security-constraint>

<login-config>
    <auth-method>DEFAULT</auth-method>
    <realm-name>NOACCESSFORANYONE</realm-name>
</login-config>
<security-role>
    <role-name>NOSOUPFORYOU</role-name>
</security-role>

如果您使用 apache 提供静态内容，则此方法将不起作用，因为 apache 将在 tomcat 获取 URL 之前提供 conf 文件。在这种情况下，您需要通过 apache 的 http 配置文件来解决这个问题。

Question 2

向本帖中的所有系统管理员和 IT 工作者问好。感谢你们的回复。许多对我的问题的回复都是可以接受的，但这个回复最适合我们的生产环境。

好的。要在 server.xml 中阻止虚拟主机内的目录或文件，只需将以下代码添加到 tomcat/conf 目录中的 server.xml 中。

前：

  <Host name="www.customer.com" appBase="/usr/share/app4_0b/tomcat/webapps/" autoDeploy="false">
    <Context path="" docBase="./customer" />

    <Valapp className="org.apache.catalina.valapps.FastCommonAccessLogValapp"
           directory="weblogs/customer"
           prefix="www_customer_com_"
           suffix=".txt"
           pattern="combined"
           resolappHosts="false" />
  </Host>

后：

  <Host name="www.customer.com" appBase="/usr/share/app4_0b/tomcat/webapps/" autoDeploy="false">
    <Context path="" docBase="./customer" />

    <Context path="/app/xv/~customer/etc" docBase="" >
      <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>
    <Context path="/etc" docBase="" >
      <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>

    <Valapp className="org.apache.catalina.valapps.FastCommonAccessLogValapp"
           directory="weblogs/customer"
           prefix="www_customer_com_"
           suffix=".txt"
           pattern="combined"
           resolappHosts="false" />
  </Host>

因此，问题的答案是添加以下几行：

    <Context path="/app/xv/~customer/etc" docBase="" >
      <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>
    <Context path="/etc" docBase="" >
      <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>

Answer

向本帖中的所有系统管理员和 IT 工作者问好。感谢你们的回复。许多对我的问题的回复都是可以接受的，但这个回复最适合我们的生产环境。

好的。要在 server.xml 中阻止虚拟主机内的目录或文件，只需将以下代码添加到 tomcat/conf 目录中的 server.xml 中。

前：

  <Host name="www.customer.com" appBase="/usr/share/app4_0b/tomcat/webapps/" autoDeploy="false">
    <Context path="" docBase="./customer" />

    <Valapp className="org.apache.catalina.valapps.FastCommonAccessLogValapp"
           directory="weblogs/customer"
           prefix="www_customer_com_"
           suffix=".txt"
           pattern="combined"
           resolappHosts="false" />
  </Host>

后：

  <Host name="www.customer.com" appBase="/usr/share/app4_0b/tomcat/webapps/" autoDeploy="false">
    <Context path="" docBase="./customer" />

    <Context path="/app/xv/~customer/etc" docBase="" >
      <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>
    <Context path="/etc" docBase="" >
      <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>

    <Valapp className="org.apache.catalina.valapps.FastCommonAccessLogValapp"
           directory="weblogs/customer"
           prefix="www_customer_com_"
           suffix=".txt"
           pattern="combined"
           resolappHosts="false" />
  </Host>

因此，问题的答案是添加以下几行：

    <Context path="/app/xv/~customer/etc" docBase="" >
      <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>
    <Context path="/etc" docBase="" >
      <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>

Question 3

为什么不将其存储在您的 Web 目录结构之外？我们从来不会将任何我们不想让用户发现的内容放在 /var/www/html/ 下。

Answer

为什么不将其存储在您的 Web 目录结构之外？我们从来不会将任何我们不想让用户发现的内容放在 /var/www/html/ 下。

Question 4

忠告。修复权限后。更改所有密码，并确保没有 Google 缓存。

Answer

忠告。修复权限后。更改所有密码，并确保没有 Google 缓存。

如何阻止 Tomcat 提供对文件的访问？

答案1

答案2

答案3

答案4

相关内容