网络界面http://localhost:8080/manager/html。有没有办法禁用或完全删除它?只是问这样我就不会搞砸了一些设置,不妨进入并删除内容。
我想摆脱它的原因是因为我认为恶意脚本暴力破解密码导致服务器不断被阻止。它锁定并固定自己,但我也不知道这种情况发生了,直到我手动检查。我没有使用网络管理器,所以我认为解决这个问题的最佳方法就是完全摆脱它。那说如果你有另一个建议,我也会对此持开放态度。我已尝试在manager.xml中设置RemoteAddrValve,如下所示,但我仍然遇到此问题。
//I changed the ip address for this example.
<Context path="/manager"
docBase="/usr/share/tomcat7-admin/manager"
antiResourceLocking="false" privileged="true">
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow="0\.0\.0\.0" denyStatus="404" />
</Context>
答案 0 :(得分:1)
“默认情况下无法访问Manager应用程序,因为没有用户配置了必要的访问权限。”
如果您认为在经理应用中启用了用户,则可以编辑$ CATALINA_BASE / conf / tomcat-users.xml。只需注释或删除该文件中的任何活动角色或用户名,然后重新启动服务器以阻止访问Manager应用程序。
每个OWASP(稍微过时)的另一种方法是重命名您的经理应用。这是一种“默默无闻的安全”方法,但如果某些僵尸网络随机定位到您的服务器,则可能会有效。
最后,我测试了删除Tomcat7上的管理器webapp并弹出服务器。之后Tomcat示例webapp运行正常,所以我怀疑你可以删除没有不良影响的管理器,只要你不依赖它来部署webapps。
此外,您的remoteAddrValve中使用的文档库看起来很奇怪。我希望它是/ usr / share / tomcat7-admin / webapps / manager,除非您经历了为整个服务器更改文档库的麻烦。