Java Tomcat7显示tomcat manager中的非活动用户数_Java_Tomcat_Amazon Ec2_Tomcat7

Java Tomcat7显示tomcat manager中的非活动用户数

java tomcat amazon-ec2

Java Tomcat7显示tomcat manager中的非活动用户数,java,tomcat,amazon-ec2,tomcat7,Java,Tomcat,Amazon Ec2,Tomcat7,您好，我有一个AmazonEC2服务器，我正在使用这个服务器开发Java应用程序，但从最近几天开始，我面临一个非常不寻常的问题，我担心有人可能会玩我的服务器当我使用ipaddress:8080/manager登录我的tomcat管理器时。它要求我输入tomcat-user.xml文件中的用户名和密码。当我登录到系统时，几分钟后只显示一个活动实例，它显示有多个用户在使用tomcat manager，但问题是我没有与任何人共享我的凭据。请检查这个屏幕截图正如您所看到的，我的tomcat man

您好，我有一个AmazonEC2服务器，我正在使用这个服务器开发Java应用程序，但从最近几天开始，我面临一个非常不寻常的问题，我担心有人可能会玩我的服务器

当我使用ipaddress:8080/manager登录我的tomcat管理器时。它要求我输入tomcat-user.xml文件中的用户名和密码。当我登录到系统时，几分钟后只显示一个活动实例，它显示有多个用户在使用tomcat manager，但问题是我没有与任何人共享我的凭据。请检查这个屏幕截图

正如您所看到的，我的tomcat manager有94个会话id可用，但没有一个具有用户名，它们也不处于活动状态。只有一个是活动的，我使用用户名admin登录
当我检查服务器日志时，我还发现一些人正在尝试使用以下角色根tomcat manager进行身份验证。附件是日志

Sep 28, 2015 4:54:02 PM org.apache.catalina.realm.LockOutRealm authenticate WARNING: An attempt was made to authenticate the locked user "root" Sep 28, 2015 4:55:07 PM org.apache.catalina.realm.LockOutRealm authenticate WARNING: An attempt was made to authenticate the locked user "admin" Sep 28, 2015 4:56:44 PM org.apache.catalina.realm.LockOutRealm authenticate WARNING: An attempt was made to authenticate the locked user "manager" Sep 29, 2015 7:08:16 AM org.apache.catalina.realm.LockOutRealm authenticate WARNING: An attempt was made to authenticate the locked user "root" Sep 29, 2015 7:08:16 AM org.apache.catalina.realm.LockOutRealm authenticate WARNING: An attempt was made to authenticate the locked user "tomcat" Sep 29, 2015 7:08:16 AM org.apache.catalina.realm.LockOutRealm authenticate WARNING: An attempt was made to authenticate the locked user "manager" Sep 29, 2015 7:08:16 AM org.apache.catalina.realm.LockOutRealm authenticate WARNING: An attempt was made to authenticate the locked user "manager" Sep 29, 2015 7:08:19 AM org.apache.catalina.realm.LockOutRealm authenticate WARNING: An attempt was made to authenticate the locked user "tomcat" Sep 29, 2015 7:08:19 AM org.apache.catalina.realm.LockOutRealm authenticate WARNING: An attempt was made to authenticate the locked user "tomcat"
我在谷歌上做了一些修改，将tomcat的权限从755更新到750，还更新了它的用户，这在很多问题中都有解释。但我一直在面对这个问题
我无法解决这个问题，我担心有人继续玩弄我的系统。所以，我的问题是如何防止来自我的服务器的此类攻击，或者这只是tomcat中的一个bug（对此不确定）

任何帮助都将不胜感激。提前感谢。
如评论中所述，您应该在manager.xml中限制对经理的访问：

manager.xml <Context path="/manager" debug="0" privileged="true"> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1,192.168.1.107"/> </Context>

然后在浏览器中打开
，如
@aldebber
所述，我们可以实现它，但有另一个简单的解决方案可以减少对服务器的攻击次数
Tomcat基本上是在端口
8080
上工作的，因此任何人都很容易猜测，如果我们托管java web应用程序，它将在端口
8080
上运行。但我们可以更改它的默认端口号，以便减少攻击次数。为此，我们需要在
tomcat/conf
文件夹中的Server.xml
文件中做一个小的更改
更改

更新

确保您的tomcat admin manager具有强密码，而不是默认密码。
更改配置以仅在本地主机上提供manager，并创建从您的PC到本地托管的manager应用程序的ssh隧道。这样就没有人能联系到你经理的登录页面了。@Marged事实上我对ubuntu不太了解如果有任何链接的话，那么这将是一个很大的帮助如果这个过程继续发生，会导致tomcat服务的重新关闭吗？？
ssh -L 8080:localhost:8080 ipaddress_of_tomcat