如何在centos安全配置tomcat
导读:CentOS 上 Tomcat 的安全加固清单 一 运行账户与最小权限 创建专用系统账户(禁止登录、无 sudo),仅授予 Tomcat 目录访问权限: 创建用户与组:sudo groupadd tomcat;sudo useradd...
CentOS 上 Tomcat 的安全加固清单
一 运行账户与最小权限
- 创建专用系统账户(禁止登录、无 sudo),仅授予 Tomcat 目录访问权限:
- 创建用户与组:sudo groupadd tomcat;sudo useradd -s /bin/false -g tomcat -M tomcat
- 变更目录属主(示例目录 /srv/tomcat):sudo chown -R tomcat:tomcat /srv/tomcat
- 以 systemd 托管并以非 root 运行:
- 创建服务文件 /etc/systemd/system/tomcat.service,关键项:User=tomcat、Group=tomcat、UMask=0007、Restart=always
- 重新加载并启用:sudo systemctl daemon-reload & & sudo systemctl enable --now tomcat
- 目录与脚本权限建议:
- 目录 750、文件 640;关键脚本(如 bin/*.sh)700;工作目录(如 webapps)750
- 如启用 SELinux,按需设置布尔与上下文(示例):
- 允许执行内存:sudo setsebool -P tomcat_execmem 1
- 日志目录可写:sudo chcon -R -t httpd_sys_rw_content_t /srv/tomcat/logs
- 只读内容:sudo chcon -R -t httpd_sys_content_t /srv/tomcat/webapps
- 说明:以上做法遵循“最小权限原则”,避免使用 root 运行,降低提权风险。
二 网络与访问控制
- 防火墙(firewalld)精细化放行:
- 放行 HTTP/HTTPS:sudo firewall-cmd --permanent --zone=public --add-service=http;sudo firewall-cmd --permanent --zone=public --add-service=https;sudo firewall-cmd --reload
- 仅允许白名单 IP 访问管理端口(示例 8080):sudo firewall-cmd --permanent --zone=public --add-rich-rule=‘rule family=“ipv4” source address=“192.168.1.100” port port=“8080” protocol=“tcp” accept’;sudo firewall-cmd --reload
- 反向代理前置(Nginx)并强制 HTTPS:
- 安装 Nginx 后配置 location / 反向代理到 http://127.0.0.1:8080,对外仅暴露 80/443
- 在代理层设置安全头(示例):add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff; add_header Strict-Transport-Security “max-age=63072000; includeSubDomains; preload”
- 说明:通过“防火墙白名单 + 反向代理 + HSTS”的组合,可有效减少直接暴露面与明文传输风险。
三 启用 HTTPS 与证书管理
- 推荐做法:使用 Let’s Encrypt 获取免费证书,转换为 PKCS12 并配置 Tomcat 的 8443 端口
- 获取证书:sudo certbot certonly --nginx -d example.com
- 转换为 PKCS12:openssl pkcs12 -export -in /etc/letsencrypt/live/example.com/fullchain.pem -inkey /etc/letsencrypt/live/example.com/privkey.pem -out /srv/tomcat/conf/keystore.p12 -name tomcat -CAfile /etc/letsencrypt/live/example.com/chain.pem -caname root -password pass:密钥密码
- server.xml 配置示例:
- 说明:启用 TLS 可保护传输数据机密性与完整性,优先使用有效 CA 签发证书。
四 管理服务与连接器安全
- 关闭或加固管理接口:
- 生产环境建议直接移除或禁用 webapps/manager 与 webapps/host-manager
- 如确需保留,仅在内网开放,并在 webapps/manager/META-INF/context.xml 使用 RemoteAddrValve 限制来源 IP:
- 在 conf/tomcat-users.xml 仅授予必要角色,并使用强密码(示例:manager-gui、manager-script、manager-status)
- 加固关闭端口与指令:
- 修改 server.xml 的 ,避免使用默认 SHUTDOWN 指令
- 如非必要,可仅监听 127.0.0.1:
- 说明:最小化暴露管理面并加固关闭通道,降低被未授权关停或入侵的风险。
五 应用与 JVM 安全加固
- 应用部署与自动部署策略:
- 关闭自动部署与热加载:在 server.xml 的 中设置 unpackWARs=“false” autoDeploy=“false” reloadable=“false”
- 隐藏版本信息:
- 在 conf/server.xml 的 Connector 增加 server=“APP Srv1.0”(或自定义标识)
- 修改 lib/org/apache/catalina/util/ServerInfo.properties:调整 server.info、server.number 等字段,避免泄露 Tomcat 与版本号
- JVM 与运行参数:
- 在 /etc/profile.d/tomcat.sh 或 systemd Environment 中设置 JAVA_OPTS(示例):-Xms512m -Xmx1024m -XX:+UseG1GC
- 内存较小实例可参考:1GB 内存 -Xms256m -Xmx512m;2GB 内存 -Xms512m -Xmx1536m
- 运行维护与合规:
- 定期更新 Tomcat 与 JDK 至安全版本,修补已知漏洞
- 启用访问与应用日志,结合监控告警,持续审计异常行为
- 说明:减少攻击者可利用的信息面与自动部署面,配合合理的 GC 与内存配置提升稳定性。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: 如何在centos安全配置tomcat
本文地址: https://pptw.com/jishu/776794.html