我的项目是使用嵌入式 Tomcat 9.0.41 和 Java Springboot 应用程序,客户要求 Tomcat 遵守强化指南以确保安全,其中包含以下内容,例如:
- 以非特权用户身份运行 Tomcat
- 以非特权用户身份运行 Tomcat
- 从特权组中删除 Tomcat 用户
- 将Tomcat安装在与操作系统不同的目录中。
- 限制 Tomcat 管理器和管理应用程序
- 限制 Tomcat 管理器(需要 Tomcat 管理器时适用),限制 Tomcat 管理器访问授权终端。要配置:在 /conf/catalina/localhost/manager.xml 下,添加以下行:<Valve className="org.apache.catalina.valves.RemoteAddrValve"allow="127.xxx"/>
- 限制 Tomcat 管理(适用于需要 Tomcat 远程 Web 管理员) 限制 Tomcat 管理器对授权终端的访问。配置: 在 /conf/catalina/localhost/admin.xml 下,取消注释以下行(默认情况下在文件中找到): <Valve className="org.apache.catalina.valves.RemoteAddrValve"allow="127.xxx" />
任何人都可以建议如何为嵌入式 Tomcat 实现上述目标?如果您需要更多信息,请告诉我。谢谢!