>При таком раскладе любой кто введет в браузере http://server/index.jsp или http://server/admin увидит оболочку управления tomcat.
Ну и пусть видит. Она же у тебя под паролем?
>Я слышал что можно как то настроить
>перед tomcat'ом апач, но вот нельзя ли услышать подробнее об существующих
>решениях таких вот вопросов безопасности.
Да, обычно ставится Апач, который часть запросов отдает Томкету. Ищи по ключевым словам mod_jk и mod_jk2. У Апача встроенные средства контроля доступа гораздо гибче.
Кстати, как у тебя Томкет на 80-м порту слушает? Рутом пускаешь? Тогда однозначно за Апач прячь.
>Может в самом томкате существуют встроенные
>средства безопасности? catalina.policy?
>Заранее благодарен.
Это не для того и фиг ты с ними разберешься - надо _очень_ хорошо знать Яву.