1. дома
  2. Вопрос и ответ
  3. Отключить диспетчер Tomcat7

Отключить диспетчер Tomcat7

2016-01-29 6 views
1

Веб-интерфейс http://localhost:8080/manager/html. Есть ли способ отключить или полностью удалить его? Просто прошу, чтобы я не испортил некоторые настройки, вступая и удаляя вещи волей-неволей.Отключить диспетчер Tomcat7

Причина, по которой я хочу избавиться, потому что сервер продолжает блокироваться из-за того, что я думаю, что вредоносные сценарии грубо заставляют пароль. Он фиксируется и защищается, но я также не знаю, что это произошло, пока я не проверю вручную. Я не использую веб-менеджера, поэтому я считаю, что лучший способ решить это - просто полностью избавиться от него. Тем не менее, если у вас есть другое предложение, я тоже буду открыт для этого. Я попытался настроить RemoteAddrValve в файле manager.xml, как показано ниже, но у меня все еще проблема.

//I changed the ip address for this example. 
<Context path="/manager" 
    docBase="/usr/share/tomcat7-admin/manager" 
    antiResourceLocking="false" privileged="true"> 

    <Valve className="org.apache.catalina.valves.RemoteAddrValve" 
    allow="0\.0\.0\.0" denyStatus="404" /> 
</Context>

источник

2016-01-29 ryandlf

+0

Это должно быть 'allow =" 127.0.0.1 "' уверенно? – EJP

+0

Я хотел попробовать и поддерживать возможность входа в систему через мою машину dev, поэтому я использовал свой статический ip. Сервер удален, поэтому я не могу получить доступ к нему локально. – ryandlf

+0

'0.0.0.0' не является статическим IP-адресом. – EJP

ответ

1

Пер с Tomcat 7 documents:

"The Application Manager не доступен по умолчанию, как ни один пользователь не настроен необходимый доступ."

Если вы считаете, что пользователь включен в приложении-менеджере, вы можете редактировать $ CATALINA_BASE/conf/tomcat-users.xml. Просто прокомментируйте или удалите любые активные роли или имена пользователей в этом файле и перезапустите сервер, чтобы предотвратить доступ к приложению Manager.

Другой подход к OWASP (несколько устаревший) - это переименование вашего приложения-менеджера. Это подход «безопасности по безвестности», но может работать, если какой-либо ботнет просто случайно нацелил ваш сервер.

Наконец, я протестировал удаление менеджера webapp на Tomcat7 и отскакивание от сервера. После этого пример веб-приложения Tomcat прошел нормально, поэтому я подозреваю, что вы можете удалить менеджер без каких-либо плохих эффектов, если вы не зависите от него, чтобы развернуть webapps.

Кроме того, docbase, используемый в вашем remoteAddrValve, выглядит странно. Я ожидаю, что это будет/usr/share/tomcat7-admin/webapps/manager, если вы не столкнулись с проблемой изменения docbase для всего вашего сервера.

источник

2016-01-29 03:31:22 lreeder

+0

У меня нет пользователей. Я думаю, что он все еще показывает окно входа в систему, которое, если грубой принудительный, заблокирует tomcat. – ryandlf

+0

Он отправляет базовый ответ auth обратно клиенту, но как он может быть грубым принудительным, если нет пользователей, и, следовательно, нет рабочего пароля? – lreeder

+0

Я уверен, что на основе журналов доступа что-то происходит с менеджером, появляется окно входа в систему, и они просто пытаются ввести пароль после пароля, пока tomcat полностью не заблокируется. Он блокирует доступ, но также делает это там, где мои приложения перестают отвечать. – ryandlf

 Смежные вопросы

  • Нет связанных вопросов^_^