如何限制Ubuntu Tomcat访问权限

Ubuntu 上限制 Tomcat 访问权限的实用方案

一 系统与服务最小化权限

• 创建专用低权限系统用户（禁止登录、无 sudo）：sudo useradd -r -M -s /usr/sbin/nologin tomcat。将 Tomcat 目录属主设为该用户：sudo chown -R tomcat:tomcat /opt/tomcat。仅对需要写入的目录授予组写：sudo chmod -R g+w /opt/tomcat/logs /opt/tomcat/work /opt/tomcat/temp；其余目录保持只读：sudo find /opt/tomcat -type d -not -path “/opt/tomcat/logs*” -not -path “/opt/tomcat/work*” -not -path “/opt/tomcat/temp*” -exec chmod 755 { } ; 。服务以该用户运行（systemd 示例）：在 /etc/systemd/system/tomcat.service 的 [Service] 中加入 User=tomcat、Group=tomcat，然后执行 systemctl daemon-reload & & systemctl restart tomcat。必要时通过 sudo visudo 仅授予运维账号重启权限，避免直接使用 root 运维 Tomcat。

二 网络与端口访问控制

• 防火墙仅放行必要来源与端口：sudo ufw allow from 10.0.0.0/8 to any port 8080；如需本地管理可仅放行 127.0.0.1:8080。对外关闭管理端口（如 8005/8009）或仅内网开放。若启用管理应用，使用 RemoteAddrValve 限制来源 IP（在 manager/META-INF/context.xml 中配置 allow 正则，仅允许公司网段或跳板机网段访问）。如业务允许，直接删除或禁用 manager/host-manager 应用，减少攻击面。

三 管理应用与 JMX 的访问控制

• 精简 tomcat-users.xml 的账号与角色，禁用高权限角色（如 manager-script、manager-jmx）除非确有自动化或监控需求；为保留的账号设置强密码并定期轮换。若保留管理界面，务必结合来源 IP 白名单（RemoteAddrValve）与最小角色授权；不需要时直接移除 webapps 下的 manager 与 host-manager 目录，彻底关闭管理入口。

四 应用层与静态资源的权限校验

• 对敏感资源与后台接口统一接入认证与授权过滤器（如基于 Session 或 JWT），并在过滤器中对静态资源、下载接口、管理路径进行统一拦截，未登录或权限不足直接返回 403。若通过 Nginx 反向代理，可在 Nginx 层做 IP 白名单、限流与鉴权（如 accesskey、basic auth 或对接企业 SSO），未通过时直接返回 403/401，避免请求到达 Tomcat。

五 运行与维护加固要点

• 删除或禁用不使用的内置应用（如 docs、examples、ROOT、host-manager、manager），减少已知漏洞利用面。关闭自动部署：在 server.xml 的 Host 中将 autoDeploy 与 deployOnStartup 设为 false，上线由 CI/CD 受控发布。保持 Tomcat 与系统安全更新与补丁；如运行日志出现权限异常，检查目录属主与运行用户是否一致，必要时调整 umask 或日志文件权限，确保 Tomcat 对 logs、work、temp 具备写权限且其他用户不可越权读取。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！