Question

Tomcat（8.0.27） server.xml 文件包含全局命名资源部分下的默认用户数据库定义：

  <GlobalNamingResources>
    <!-- Editable user database that can also be used by
         UserDatabaseRealm to authenticate users
    -->
    <Resource name="UserDatabase" auth="Container"
              type="org.apache.catalina.UserDatabase"
              description="User database that can be updated and saved"
              factory="org.apache.catalina.users.MemoryUserDatabaseFactory"
              pathname="conf/tomcat-users.xml" />
  </GlobalNamingResources>

有些扫描发现 tomcat-users.xml 文件包含纯文本密码。我想知道这个资源是否可以删除？我不打算在我的引擎定义下使用这个领域，也不使用Tomcat管理器应用程序。

我在Tomcat文档部分找不到任何答案。

Answer 1

是的，如果您还使用此资源删除了Realm，则可以：

 <!-- Use the LockOutRealm to prevent attempts to guess user passwords
via a brute-force attack -->
<Realm className="org.apache.catalina.realm.LockOutRealm">
<!-- This Realm uses the UserDatabase configured in the global JNDI
resources under the key "UserDatabase". Any edits
that are performed against this UserDatabase are immediately
available for use by the Realm. -->
<Realm className="org.apache.catalina.realm.UserDatabaseRealm"
resourceName="UserDatabase"/>
</Realm>

请注意，执行此操作后，您需要进一步配置以管理经理应用程序。

从Tomcat的缺省server.xml配置文件中删除缺省用户数据库资源

1 个答案: