以下是CentOS下Tomcat的安全设置步骤:
安装Tomcat
/opt/tomcat),避免使用root用户安装。CATALINA_HOME)并生效。最小化权限配置
tomcat,禁止其登录shell(/sbin/nologin),并赋予Tomcat目录所有权。tomcat用户身份运行。限制管理访问
webapps下的manager、host-manager等默认应用目录。conf/tomcat-users.xml中配置强密码及最小权限角色,限制IP访问(如仅允许本地127.0.0.1)。隐藏版本信息
conf/server.xml中Connector的server属性,避免暴露Tomcat版本。conf/Catalina/localhost下的默认应用配置文件。启用HTTPS
conf/server.xml启用HTTPS连接器(端口如8443)。防火墙与端口控制
firewalld开放Tomcat端口(如8080、8443),关闭其他非必要端口。安全加固
autoDeploy和unpackWARs,防止恶意WAR文件自动部署。web.xml添加安全约束,限制敏感路径访问。日志与监控
logs/catalina.out等日志,监控异常访问。httpd_sys_content_t等上下文限制。定期更新
参考来源:
