Linux下Tomcat安全设置有哪些

Linux下Tomcat安全设置清单

一 基础与运行环境安全

• 升级与版本管理：优先使用受支持的稳定版本并及时打补丁；如暂时无法升级，也应尽量更新到该分支的最新稳定小版本，避免已知漏洞长期暴露。对Tomcat 6这类已停止支持的版本，建议迁移至7/8/9/10的受支持分支。
• 降权运行：创建专用系统用户（如 tomcat），禁止以root启动；将安装目录属主设为该用户，并按最小化权限配置（目录750、脚本700）。示例：adduser tomcat；chown -R tomcat:tomcat /opt/tomcat；chmod -R 750 /opt/tomcat；chmod 700 /opt/tomcat/bin/*.sh。
• 服务隔离：尽量采用一个实例只部署一个站点的方式，减少多应用在同一实例内的相互影响与权限扩散风险。
• 目录清理：生产环境删除webapps下不需要的默认应用（如docs、examples、host-manager、manager、ROOT），降低攻击面。
• 脚本与权限：限制**bin/**目录脚本的执行权限，仅保留必要的启动/停止脚本，避免被篡改后植入恶意命令。

二 配置与网络层加固

• 关闭或保护管理端口：修改server.xml中8005端口与SHUTDOWN指令为强随机字符串；如无需远程关停，可仅监听127.0.0.1。
• 禁用AJP或严格限制：若前端由Nginx/Apache反向代理，建议直接注释/关闭8009/AJP连接器；确需使用时仅在内网开放并配合访问控制。
• 修改默认HTTP端口：将8080改为非默认端口，配合防火墙策略降低自动化扫描命中率。
• 关闭自动部署与解压：在Host节点设置autoDeploy=“false”、unpackWARs=“false”，避免热部署带来的代码注入与木马风险。
• 隐藏版本信息：修改lib/catalina.jar中ServerInfo.properties（如将server.info、server.number改为自定义值），或在Connector上设置server字段，减少信息泄露。
• 访问日志与监控：启用AccessLogValve，记录客户端IP、请求方法、状态码、字节数、URL等关键字段，便于审计与溯源。
• 自定义错误页面：在web.xml配置404/500等错误页面，避免泄露堆栈与目录结构。

三 认证授权与加密传输

• 最小化管理账号：生产环境如无远程部署需求，建议注释/删除conf/tomcat-users.xml中的用户与角色配置；如确需管理端，仅保留最小必要角色并采用强口令（长度≥8，包含大小写字母、数字与特殊字符中至少3类）。
• 管理端访问控制：对**/manager/与/host-manager/路径，使用RemoteAddrValve仅允许内网/跳板机**网段访问，示例：allow=“127.\d+.\d+.\d+|::1|192.168.\d+.\d+|10.\d+.\d+.\d+”。
• 应用层安全约束：在应用的WEB-INF/web.xml中使用security-constraint与login-config对管理路径实施角色访问控制（BASIC/表单等），仅授予必要角色。
• 启用HTTPS/TLS：在server.xml配置8443端口与SSL/TLS，可使用JDK keytool生成密钥库或导入CA证书；现代配置建议使用Http11NioProtocol + SSLHostConfig + Certificate结构。
• Cookie安全属性：在context.xml设置useHttpOnly=“true”；如需在HTTPS下传输会话Cookie，设置secure=“true”。

四 请求方法与会话安全

• 限制HTTP方法：在全局或应用的web.xml中确保DefaultServlet的readonly=“true”（默认即为true），拒绝PUT/DELETE等修改类方法；如业务需要开放，应叠加细粒度安全约束与鉴权。
• 禁用TRACE方法：通过安全约束显式拒绝TRACE，降低跨站追踪风险。
• 处理CORS预检：若前端跨域，放行OPTIONS预检请求（可配置允许的角色或匿名访问），避免接口被浏览器拦截。
• 会话管理：在web.xml设置session-timeout（如30分钟），降低会话劫持与固定会话风险。
• 连接与超时：在Connector设置connectionTimeout（如30000毫秒），减少慢速攻击与资源占用。

五 运维与审计实践

• 系统服务与权限：使用systemd托管Tomcat，在单元文件中指定User/Group，确保以非root身份运行；变更后以systemctl daemon-reload并重启验证。
• SELinux/AppArmor：如启用SELinux，为Tomcat目录设置合适上下文（如日志目录可设为httpd_sys_rw_content_t），必要时使用semanage/fcontext持久化；Debian系可结合AppArmor进行进程域限制。
• 基线核查与日志：定期审计tomcat-users.xml、server.xml、web.xml变更；集中采集catalina.out、localhost_access_log与应用日志，保留足够留存周期并设置合理滚动策略。
• 网络与主机加固：仅开放必要端口（如8080/8443），对管理口与数据库等敏感端口实施白名单与ACL；系统与中间件按周期更新补丁与漏洞扫描。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！