业务访问地址 | 权限说明 | 备注 |
---|---|---|
172.20.1.15:8080/manager/status | 只允许IP地址为172.20.1.11的主机访问 |
Tomcat状态的监控,只需要为Tomcat创建一个拥有manager-status角色的用户,并允许IP地址为172.20.1.11的主机访问tomcat manger即可,对服务器自身的业务不会造成任何影响。确保状态信息只能是指定的某些IP或者IP段能够访问tomcat manager,只能是具有manager-status角色的某些用户能访问manager-status,保障Tomcat的信息安全。
Tomcat安装目录为/usr/tomcat
操作步骤如图1-1所示。
提醒:
默认仅允许本机访问
修改/usr/tomcat/conf/Catalina/localhost路径下的manager.xml文件,如果该路径下没有此文件,可以新建一个
allow中是填IP,可以使用正则表达式匹配
操作命令:
vi /usr/tomcat/conf/Catalina/localhost/manager.xml
**配置文件:/usr/tomcat/conf/Catalina/localhost/manager.xml
<Context privileged="true" antiResourceLocking="false" docBase="${catalina.home}/webapps/manager">
<Value className="org.apache.catalina.valves.RemoteAddrValve" allow="172.20.1.11" />
</Context>
操作步骤如图1-2所示。
提醒:
从Tomcat 6开始为了安全缺省条件下Tomcat的host-manager、manager是不能访问的(http 403拒绝),如需访问需要分配相关的角色权限
此处可以配置多个角色,不同版本Tomcat所拥有的角色都不同
在生产环境中建议修改复杂度高的Tomcat用户密码,另外不需要分配所有角色权限,需要够用的即可,如果不能访问会用相应的提示
操作命令:
vi /usr/tomcat/conf/tomcat-user.xml
**配置文件:/usr/tomcat/conf/tomcat-user.xml
<tomcat-users xmlns="http://tomcat.apache.org/xml"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
version="1.0">
<role rolename="manager-status"/>
<user username="monitor" password="monitor" roles="manager-status"/>
</tomcat-users>
操作命令:
/usr/tomcat/bin/startup.sh
IP地址为172.20.1.11的主机通过浏览器访问:http://172.20.1.15:8080/manager/status
操作步骤如图1-3所示。