Tomcat 5.5.x 配置集錦 (續)

接 ： Tomcat 5.5.x 配置集錦(x表示4,5,.6,7) 12.如果你的webapp需要只能夠進行https方式訪問，那么在webapp的web.xml里加上： <security-constraint>  <web-resource-collection>   <web-resource-name>must https</web-resource-name>   <url-pattern>/lizongbo/*</url-pattern>  </web-resource-collection>  <user-data-constraint>   <transport-guarantee>CONFIDENTIAL</transport-guarantee>  </user-data-constraint> </security-constraint>參考：http://jakarta.apache.org/tomcat/faq/security.html#httpshttp://marc.theaimsgroup.com/?l=tomcat-user&m=104951559722619&w=213.修改遠程關閉服務器的命令。server.xml默認有下面一行：<Server port="8005" shutdown="SHUTDOWN">這樣允許任何人只要telnet到服務器的8005端口，輸入"SHUTDOWN"，然后回車，服務器立即就被關掉了。從安全的角度上考慮，我們需要把這個shutdown指令改成一個別人不容易猜測的字符串。例如修改如下：<Server port="8006" shutdown="lizongbo">，這樣就只有在telnet到8006，并且輸入"lizongbo"才能夠關閉Tomcat.注意：這個修改不影響shutdown.bat的執行。運行shutdown.bat一樣可以關閉服務器。參考：http://jakarta.apache.org/tomcat/faq/security.html#8005  以下皆可以參考：http://www.cnjsp.org/document/user/tuman/valve.html  14.配置http訪問日志。Tomcat自帶的能夠記錄的http訪問日志已經很詳細了取消下面這段的注釋：         <Valve className="org.apache.catalina.valves.Aclearcase/" target="_blank" >ccessLogValve"                 directory="logs"  prefix="localhost_access_log." suffix=".txt"                 pattern="common" resolveHosts="false"/> 然后修改為：        <Valve className="org.apache.catalina.valves.FastCommonAccessLogValve"                 directory="logs"  prefix="localhost_access_log." suffix=".txt"                 pattern="combined" resolveHosts="false" fileDateFormat="yyyy-MM-dd.HH"/> pattern="combined" 記錄的日志內容更詳細，fileDateFormat="yyyy-MM-dd.HH"，會讓日志文件按小時進行滾卷，比默認的按天滾卷要好些，尤其是訪問量大的網站，可以考慮寫成fileDateFormat="yyyy-MM-dd.HH.mm"，就會是每分鐘一個日志文件了。而且可以分別按Engine, Host, or Context,來記錄自己的日志詳情參考：http://jakarta.apache.org/tomcat/tomcat-5.5-doc/config/valve.htmlhttp://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/logger.htmlhttp://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/host.html#Access%20Logs而且還可以配合awstats來進行日志統計分析： http://www.chedong.com/tech/awstats.html 15.限制ip，限制主機訪問等。如果想禁止指定的ip或者主機名來拒絕某些機器訪問，或者指定某些機器來訪問。也支持分別按Engine, Host, or Context,進行以下配置：<Context path="/examples" ...>  ...  <Valve className="org.apache.catalina.valves.RemoteHostValve"         allow="*.mycompany.com,www.yourcompany.com"/>  <Valve className="org.apache.catalina.valves.RemoteAddrValve"         deny="192.168.1.*"/></Context>參考：http://jakarta.apache.org/tomcat/tomcat-5.0-doc/config/context.html 16.發布webapp到網站根目錄1。直接復制到ROOT目錄下。2.因為無法創建無名字的xml文件，并且在xml文件里指定path也是無效的(tomcat靠文件名字來判斷的)，因此必須在server.xml里寫下面一段：<Context docBase="${catalina.home}/vhost/www.lizongbo.com" path="/"         privileged="true" antiResourceLocking="false" antiJARLocking="false"><Manager className="org.apache.catalina.session.StandardManager" algorithm="SHA-512" entropy="suijisifuchuansuijisifuchuansuijisifuchuansuijisifuchuan"maxActiveSessions="800" />         <Valve className="org.apache.catalina.valves.FastCommonAccessLogValve"                 directory="logs"  prefix="localhost_mytest_access_log." suffix=".txt"                 pattern="combined" resolveHosts="true" fileDateFormat="yyyy-MM-dd.HH"/>         </Context>而且必須把ROOT目錄刪除掉，否則Tomcat還是優先部署ROOT目錄為"/"。 17.在重新啟動Tomcat的webapp的時候，禁止把session寫入文件。修改conf/web.xml取消注釋： <!---->    <Manager pathname="" /> 18.增強SessiionID的生成算法和長度。          <Manager className="org.apache.catalina.session.StandardManager" algorithm="SHA-512" sessionIdLength="40">         </Manager> （默認的是MD5,長度是16位。） 19.配置日志：(http://jakarta.apache.org/tomcat/tomcat-5.5-doc/logging.html) 在D:\jakarta-tomcat-5.5.8\common\classes\新建log4j.properties  內容：log4j.rootLogger=debug, R log4j.appender.R=org.apache.log4j.RollingFileAppender log4j.appender.R.File=${catalina.home}/logs/tomcat5.5.log log4j.appender.R.MaxFileSize=10MB log4j.appender.R.MaxBackupIndex=10 log4j.appender.R.layout=org.apache.log4j.PatternLayout log4j.appender.R.layout.ConversionPattern=%p %t %c - %m%n log4j.logger.org.apache.catalina=DEBUG, Rlog4j.logger.org.apache.catalina.core.ContainerBase.Catalina.localhost=DEBUG, R log4j.logger.org.apache.catalina.core=DEBUG, R log4j.logger.org.apache.catalina.session=DEBUG, R 復制log4j-1.2.9.jar和commons-logging.jar到D:\jakarta-tomcat-5.5.8\common\lib 20.使用windows域用戶驗證  http://jcifs.samba.org/src/docs/ntlmhttpauth.html   

原文轉自：http://www.anti-gravitydesign.com