(3).禁止列表

　　我們知道在IIS中如果設(shè)置不當(dāng)，就會列出Web當(dāng)前目錄中的所有文件，在Tomcat也不例外。如果瀏覽者可以在客戶端瀏覽Web目錄，那將會存在較大的安全隱患，因此我們要確認(rèn)Tomcat的設(shè)置中禁止列目錄。設(shè)置文件是web.xml，也在conf目錄下。用記事本打開該文件，搜索init-param在其附近找到類似如下字段：　　


<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>　　
　　確認(rèn)是false而不是true。(圖9)


(4).用戶管理

　　Tomcat的后臺管理員為admin并且默認(rèn)為空密碼，安全期間我們需要修改該默認(rèn)的用戶名并為其設(shè)置健壯的密碼。其配置文件為tomcat-users.xml，用記事本打開該文件然后進(jìn)行修改。其中role標(biāo)簽表示其權(quán)限，manager說明是管理員權(quán)限;user標(biāo)簽表示后臺管理用戶，可以看到用戶名為admin，我們可以將其修改為一個陌生的用戶;可以看到password后面為空密碼，我們可以為其設(shè)置一個復(fù)雜的密碼。最后修改配置完成的tomcat-users.xml文件為：　
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
   <role rolename="manager"/>
   <role rolename="admin"/>
   <user username="gslw" password="test168" roles="admin,manager"/>
</tomcat-users>
　　(圖10)


(5).錯誤頁面

　　Tomcat不像IIS提供了各種類型的錯誤頁，如果Tomcat發(fā)生錯誤就會顯示千篇一律的錯誤頁面。其實我們可以通過修改其配置文件，從而自定義設(shè)置其錯誤頁面的顯示。打開web.xml文件，在最后一行的之前添加如下的語句：　　
<error-page>
      <error-code>401</error-code>
      <location>/401.htm</location>
   </error-page>
   <error-page>
      <error-code>404</error-code>
      <location>/404.htm</location>
   </error-page>
   <error-page>
      <error-code>500</error-code>
      <location>/500.htm</location>
   </error-page>


　　當(dāng)然，僅僅設(shè)置這樣的語句還不行，需要創(chuàng)建相應(yīng)的401.htm、404.htm、500.htm這樣的文件才行。另外，要把錯誤頁面文件放到webapps\manager目錄中，否則需要在web.xml中指定其路徑，最后的效果如圖11所示。(圖11)


總結(jié)：Tomcat不同于IIS，其配置沒有圖形界面，而是通過修改配置文件來完成的。不過，正因為如此用戶有更多的自主性，可以根據(jù)自己的需要進(jìn)行擴(kuò)展。而且其與Apache可以無縫結(jié)合，打造安全、強(qiáng)大的Web服務(wù)器。