【权限清单】

【配置说明】

      Tomcat状态的监控，只需要为Tomcat创建一个拥有manager-status角色的用户，并允许IP地址为172.20.1.11的主机访问tomcat manger即可，对服务器自身的业务不会造成任何影响。确保状态信息只能是指定的某些IP或者IP段能够访问tomcat manager，只能是具有manager-status角色的某些用户能访问manager-status，保障Tomcat的信息安全。

【操作步骤】

1  Linux

Tomcat安装目录为/usr/tomcat

步骤1：修改远程访问限制

操作步骤如图1-1所示。

提醒：

• 默认仅允许本机访问

• 修改/usr/tomcat/conf/Catalina/localhost路径下的manager.xml文件，如果该路径下没有此文件，可以新建一个

• allow中是填IP，可以使用正则表达式匹配

操作命令：

vi /usr/tomcat/conf/Catalina/localhost/manager.xml

**配置文件：/usr/tomcat/conf/Catalina/localhost/manager.xml

<Context privileged="true" antiResourceLocking="false" docBase="${catalina.home}/webapps/manager">
    <Value className="org.apache.catalina.valves.RemoteAddrValve" allow="172.20.1.11" />
</Context>

步骤2：添加manager-status角色的用户

操作步骤如图1-2所示。

提醒：

• 从Tomcat 6开始为了安全缺省条件下Tomcat的host-manager、manager是不能访问的（http 403拒绝），如需访问需要分配相关的角色权限

• 此处可以配置多个角色，不同版本Tomcat所拥有的角色都不同

• 在生产环境中建议修改复杂度高的Tomcat用户密码，另外不需要分配所有角色权限，需要够用的即可，如果不能访问会用相应的提示

操作命令：

vi /usr/tomcat/conf/tomcat-user.xml

**配置文件：/usr/tomcat/conf/tomcat-user.xml

<tomcat-users xmlns="http://tomcat.apache.org/xml"
              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
              xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
              version="1.0">
              
  <role rolename="manager-status"/>
  <user username="monitor" password="monitor" roles="manager-status"/>
  
</tomcat-users>     

步骤3：启动Tomcat

操作命令：

/usr/tomcat/bin/startup.sh

步骤4：访问状态页面

IP地址为172.20.1.11的主机通过浏览器访问：http://172.20.1.15:8080/manager/status

操作步骤如图1-3所示。