Debian上Tomcat的安全策略如何配置

Debian上Tomcat安全策略配置

一 运行账户与最小权限

• 创建专用系统用户，禁止登录，仅用于运行Tomcat：
  • sudo groupadd tomcat
  • sudo useradd -s /bin/false -g tomcat -d /opt/tomcat tomcat
• 调整目录属主与权限（示例安装到**/opt/tomcat**）：
  • sudo chown -R tomcat:tomcat /opt/tomcat
  • sudo chmod -R 750 /opt/tomcat
• 使用systemd以tomcat用户运行（示例）：
  • 创建文件：/etc/systemd/system/tomcat.service
  • 关键项：User=tomcat、Group=tomcat、ExecStart=/opt/tomcat/bin/startup.sh、ExecStop=/opt/tomcat/bin/shutdown.sh
  • 生效：sudo systemctl daemon-reload && sudo systemctl enable --now tomcat
• 说明：Debian包安装时，Tomcat通常位于**/var/lib/tomcat9**，请按实际路径调整属主与权限。

二 最小化攻击面

• 删除或禁用管理控制台与示例应用（生产环境建议直接删除）：
  • 删除：sudo rm -rf /var/lib/tomcat9/webapps/docs /var/lib/tomcat9/webapps/examples
  • 禁用：sudo mv /var/lib/tomcat9/webapps/manager /var/lib/tomcat9/webapps/manager_disabled
  • 禁用：sudo mv /var/lib/tomcat9/webapps/host-manager /var/lib/tomcat9/webapps/host-manager_disabled
• 禁用AJP连接器（如无需与Apache httpd mod_jk/mod_proxy_ajp集成）：
  • 在**/etc/tomcat9/server.xml**中注释或删除：<Connector port=“8009” protocol=“AJP/1.3” … />
• 修改默认HTTP端口，减少自动化扫描命中：
  • 在**/etc/tomcat9/server.xml**中：
• 隐藏版本信息（减少信息泄露）：
  • 在**/etc/tomcat9/server.xml**的Connector上添加：server=“Custom Server”。

三 加密传输与访问控制

• 启用HTTPS（TLS）：
  • 生成密钥库（示例）：keytool -genkeypair -alias tomcat -keyalg RSA -keystore /etc/tomcat9/keystore -storepass changeit
  • 在**/etc/tomcat9/server.xml**添加：
• 防火墙仅开放必要端口（示例）：
  • sudo ufw allow 1234/tcp
  • sudo ufw allow 8443/tcp
  • sudo ufw enable
• 管理界面访问控制（如确需保留manager应用）：
  • 编辑：/var/lib/tomcat9/webapps/manager/META-INF/context.xml
  • 仅允许本地访问：

四 日志审计与运行安全

• 启用访问日志（记录来源IP、时间、请求、状态码、字节数等）：
  • 在**/etc/tomcat9/server.xml**的内添加：
    • <Valve className=“org.apache.catalina.valves.AccessLogValve” directory=“logs” prefix=“localhost_access_log” suffix=“.txt” pattern=“%h %l %u %t “%r” %s %b” />
• 禁止目录浏览（防止目录遍历与信息泄露）：
  • 在**/etc/tomcat9/web.xml**的DefaultServlet中设置：listings false
• 关闭自动部署（降低被恶意WAR植入风险）：
  • 在**/etc/tomcat9/server.xml**的中：autoDeploy=“false”，如存在deployOnStartup也设为"false"
• 生产环境隐藏错误细节（避免堆栈与调试信息外泄）：
  • 在应用的WEB-INF/web.xml增加：
    • java.lang.Throwable/error.jsp
• 强化认证与防暴力（可选）：
  • 在**/etc/tomcat9/conf/server.xml**的下配置LockOutRealm，锁定多次失败账户
  • 管理用户使用强口令并限制来源IP。

五 维护与验证

• 保持系统与Tomcat更新：sudo apt update && sudo apt upgrade（或升级指定包如tomcat9）
• 变更后重启：sudo systemctl restart tomcat9
• 验证要点：
  • 访问 http://IP:1234 与 https://IP:8443 是否正常跳转与证书有效
  • 访问不存在路径不显示目录列表
  • 查看日志：tail -f /var/log/tomcat9/catalina.out 与 localhost_access_log
  • 检查进程：ps -ef | grep tomcat（确认非root运行）
• 建议：定期审计配置与日志、最小化管理功能暴露面、对公网仅开放HTTPS端口。