Ubuntu Tomcat安全如何保障

Ubuntu 上 Tomcat 的安全加固清单

一 基础运行环境与权限

• 使用非 root 专用用户运行：创建系统用户（如 tomcat），禁止登录，并将安装目录属主设为该用户，例如：useradd -m -U -d /opt/tomcat -s /bin/false tomcat；chown -R tomcat: /opt/tomcat。这样即使被入侵也难以获取 root 权限。
• 以 systemd 托管进程：创建 /etc/systemd/system/tomcat.service，设置 User=tomcat、Group=tomcat、必要的环境变量（如 JAVA_HOME、CATALINA_HOME、CATALINA_BASE），并配置合适的 UMask（如 0007） 以收紧文件权限；使用 systemctl enable/start/restart 管理生命周期。
• 目录与脚本权限：Tomcat 安装目录仅对 tomcat 组可读写执行；bin/*.sh 具备执行权限；工作目录（如 work、temp）与日志目录（如 logs）仅属主可写，避免被其他用户篡改。

二 最小化攻击面

• 删除或禁用管理应用：移除 webapps 下的 docs、examples、ROOT、host-manager、manager；若必须保留，仅在内网开放，并严格限制可登录角色与来源 IP。
• 关闭 AJP 与未使用连接器：在 server.xml 中移除或注释 AJP Connector（默认 8009），避免与旧式前端（如 Apache httpd mod_jk）暴露不必要的协议面。
• 禁用自动部署与目录浏览：将 autoDeploy、deployOnStartup 设为 false；在 conf/web.xml 中将 listings 设为 false，防止目录遍历与恶意 WAR 热部署。
• 修改默认端口与关闭 shutdown 端口直连：将 8080 改为非常见端口（如 8081），并限制 8005 shutdown 端口仅本地访问（或改为通过 systemd ExecStop 管理）。
• 隐藏版本信息：替换 lib/catalina.jar 中的版本相关资源，降低信息泄露面（升级版本是更根本的做法）。

三 身份鉴别与访问控制

• 强口令与最小权限：编辑 conf/tomcat-users.xml，仅为必要账户授予最小角色；避免使用高权限角色（如 manager-script、manager-jmx）对外暴露；设置足够复杂的密码并定期轮换。
• 管理界面访问控制：优先在内网使用；若需远程，仅允许受控 IP 访问。可在 manager/META-INF/context.xml 与 host-manager/META-INF/context.xml 中配置 RemoteAddrValve 的 allow 列表；也可直接删除管理应用以彻底消除风险。
• 登录失败锁定：配置 FailedLoginAttempts 等策略缓解暴力破解（结合日志与监控告警）。

四 传输加密与网络边界

• 启用 HTTPS：为 8080/8081 配置 SSL/TLS（配置 Connector 的 SSLEnabled=true、keystoreFile、keystorePass 等），对外仅暴露 443，将 8080/8081 限制为内网或跳板机访问。
• 防火墙最小化放行：使用 UFW 仅放行必要端口（如 443，以及管理所需的 8081 仅内网网段）；定期审计规则。
• 反向代理与内网隔离：通过 Nginx/Apache HTTPD 终止 TLS、执行 WAF/限流/防扫描，Tomcat 仅监听 127.0.0.1 或内网接口。

五 补丁更新与运维安全

• 及时更新：定期升级 Tomcat 与 JDK 的安全补丁；变更前备份 server.xml、web.xml、应用 WAR、logs 等；变更后在测试环境验证再上线。
• 安全重启流程：先 systemctl status 检查状态 → 备份配置与日志 → 执行停止 → 验证进程退出 → 启动 → 复核状态与日志 → 回归业务监控。
• 运行监控与告警：持续关注 catalina.out、localhost_access_log 的异常访问、频繁失败登录、可疑部署与内存泄漏告警；必要时接入集中日志与主机/应用性能监控。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！