Linux下Tomcat安全设置有哪些要点

Linux下Tomcat安全设置要点

一 基础与运行环境

• 使用最新稳定版并及时更新补丁，关注并记录官方安全通告（如处理CVE的修复版本），降低已知漏洞风险。
• 以非root专用用户运行：创建如tomcat用户/组，禁止root直接启动；示例：groupadd tomcat & & useradd -s /bin/false -g tomcat -d /opt/tomcat tomcat。
• 目录与权限最小化：安装目录属主属组设为tomcat，配置目录conf一般为644，日志目录logs与工作目录webapps/work/temp按需755/775并仅赋予写权限给运行用户；示例：chown -R tomcat:tomcat /opt/tomcat；chmod -R 755 /opt/tomcat；chmod -R g+w logs temp webapps work。
• 如无需Web部署，生产环境可注释/清空$CATALINA_HOME/conf/tomcat-users.xml中的账号与角色，减少攻击面。

二 配置与组件加固

• 删除或清空默认应用：移除 $CATALINA_HOME/webapps 下示例与管理应用（ROOT、docs、examples、manager、host-manager），或至少限制其访问。
• 关闭自动部署与热部署：在 $CATALINA_HOME/conf/server.xml 的 中设置 unpackWARs=“false”、autoDeploy=“false”。
• 隐藏版本信息：修改 $CATALINA_HOME/lib/catalina.jar 中 org/apache/catalina/util/ServerInfo.properties（如 server.info、server.number），或于 设置 server 字段以隐藏版本。
• 禁用目录浏览：在应用的 web.xml DefaultServlet 中设置 listings 为 false（多数高版本默认已禁用）。
• 管理连接器暴露面：如无 AJP 需求，注释 AJP Connector；前端由 Nginx/Apache 反向代理时通常不需要 AJP。
• 禁用危险HTTP方法：在 DefaultServlet 中将 readonly 设为 true，禁止 PUT/DELETE 等写操作。
• 自定义错误页面：在 web.xml 配置 40x/50x 错误页面，避免泄露堆栈与服务器细节。
• 会话与Cookie安全：在 context.xml 设置 < Context useHttpOnly=“true”> ；在应用的 web.xml 中配置 secure=“true” 以仅HTTPS传输。

三 认证授权与访问控制

• 强化账号与口令：仅保留必要账号，执行最小权限与职责分离；口令长度≥8位，包含数字/小写/大写/特殊字符中至少3类。
• 角色最小化：仅在需要时分配如 manager-gui/admin-gui 等角色；若通过CI/CD脚本部署，优先使用 manager-script/admin-script 而非图形化管理接口。
• 管理界面访问控制：默认只允许本地访问；如需远程，仅对受控网段开放，并在 manager/META-INF/context.xml 中使用 RemoteAddrValve 精确放行（示例 allow 正则或CIDR）。
• 应用级安全约束：在应用的 web.xml 使用 / 保护 /admin、/manager 等敏感路径，结合 BASIC/FORM 登录配置与 声明角色。
• 外部认证集成：对接 LDAP/AD 或 SSO（如 CAS/OAuth2/SAML），在 server.xml/context.xml 配置 JNDIRealm 或相应过滤器，实现统一身份管理与审计。

四 加密通信与网络边界

• 启用 HTTPS/TLS：使用 keytool 生成密钥库（JKS/PKCS12），在 server.xml 配置 < Connector port=“8443” SSLEnabled=“true” … keystoreFile/keystorePass … /> ；优先采用 TLS 协议与强加密套件。
• 端口与协议收敛：仅开放业务所需端口（如 8080/8443）；关闭未使用的 AJP 与管理端口；必要时将管理端口仅绑定本地回环。
• 反向代理与边界防护：通过 Nginx/Apache 终止TLS并转发至Tomcat，统一启用 HTTP/2、压缩、缓存与WAF策略；对外仅暴露代理层。
• 主机与网络层控制：使用 firewalld/iptables 限制来源IP访问管理端口；启用 SELinux 并遵循最小权限原则，必要时为Tomcat定制策略。

五 日志审计与运行监控

• 访问日志全量记录：在 server.xml 中启用 AccessLogValve，记录客户端IP、请求方法、URL、状态码、字节数、UA等，便于溯源与风控。
• 日志保护与轮转：确保 logs 目录仅对运行用户可写；使用 logrotate 按日/大小切分并压缩归档，保留足够历史以满足合规。
• 安全审计与告警：定期审计账号变更、权限分配与配置修改；对异常访问（频繁4xx/5xx、管理路径探测、非法方法）设置告警。
• 运行监控与自检：监控 JVM、线程池、连接数、GC与响应时延；定期基线核查（版本、补丁、配置、开放端口、账户清单）。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！