Linux如何保障Tomcat安全运行

Linux下保障Tomcat安全运行

一 运行账户与最小权限

• 创建专用的系统用户与组（禁止以root运行）：例如创建用户tomcat，家目录指向安装路径，并设置不可登录的shell（如**/bin/false或/usr/sbin/nologin**）。随后将Tomcat目录属主属组统一为tomcat:tomcat，并按目录职能设置权限：二进制与脚本目录如bin/建议750，配置目录conf/建议640，日志目录logs/建议750且属主为tomcat，工作目录work/与临时目录temp/建议700。示例命令：groupadd tomcat；useradd -g tomcat -s /usr/sbin/nologin -d /opt/tomcat tomcat；chown -R tomcat:tomcat /opt/tomcat；chmod 750 /opt/tomcat/bin；chmod 640 /opt/tomcat/conf；chmod 750 /opt/tomcat/logs。服务以tomcat用户启动（如使用systemd服务文件设置User=tomcat）。

二 网络与端口最小化

• 关闭未使用的连接器：若前端由Nginx/Apache反向代理或负载均衡处理，直接注释或移除AJP连接器（常见端口8009），减少攻击面。示例：在server.xml中删除或注释<Connector port=“8009” protocol=“AJP/1.3” … />。
• 禁用或保护管理端口：将8005 shutdown端口改为**-1**以禁用远程关闭，或改为仅本地回环监听；必要时仅在内网可访问。
• 修改默认HTTP端口：将8080改为非标准端口（如8089），并配合防火墙仅放通必要来源IP与端口。
• 启用加密传输：为管理口与业务口配置SSL/TLS（推荐端口8443），使用JDK的keytool生成密钥库并配置Connector的keystoreFile、keystorePass、sslProtocol等参数，强制使用TLS并禁用不安全协议与弱套件。

三 配置与代码层面加固

• 关闭自动部署与解压：在server.xml的中将autoDeploy=“false”、unpackWARs=“false”，避免热部署带来的代码注入风险。
• 禁止目录遍历：在conf/web.xml中确保DefaultServlet的 listings 为false，防止目录列表泄露结构信息。
• 禁用危险HTTP方法：在应用的WEB-INF/web.xml或全局web.xml中对受限资源配置与，仅允许GET/POST等必要方法，或使用过滤器统一拦截PUT/DELETE/TRACE/OPTIONS等。
• 隐藏版本信息：修改lib/catalina.jar中的ServerInfo.properties（如将server.info改为“Tomcat”），减少指纹识别成功率。
• 自定义错误页面：在web.xml配置返回简洁的40x/50x页面，避免堆栈与路径泄露。
• 会话与Cookie安全：在context.xml设置useHttpOnly=“true”，并在需要时启用secure属性与合理超时（如session-timeout30分钟）；在server.xml设置connectionTimeout=“30000”（30秒）降低慢速攻击风险。

四 认证授权与日志审计

• 精简与保护管理接口：生产环境建议删除或禁用webapps下的manager/、host-manager/以及docs/、examples/等示例与管理应用；若必须保留，务必在tomcat-users.xml中仅保留必要账号，设置强密码与最小角色，并限制来源IP访问（配合防火墙/反向代理）。
• 基于角色的访问控制（RBAC）：在tomcat-users.xml定义admin/manager-gui等角色与用户，在应用或管理应用的web.xml中使用与（如BASIC/FORM）对/admin、/manager等路径实施细粒度授权。
• 访问日志与审计：在server.xml的中启用AccessLogValve，记录客户端IP、请求方法、URL、状态码、字节数、耗时等，便于入侵溯源与异常检测；定期审计日志与告警。

五 更新维护与运行监控

• 系统与中间件及时更新：保持Linux系统与JDK/Tomcat为最新稳定与安全修复版本；在Debian/Ubuntu系可使用apt update/upgrade/full-upgrade获取安全补丁；变更前做好配置与数据备份，变更后回归验证。
• 安全基线与加固清单：定期复核并落实本文要点（降权、端口最小化、禁用AJP、关闭热部署、隐藏版本、错误页、SSL/TLS、访问控制、日志审计等），形成基线文档与变更记录。
• 监控与防护：启用对catalina.out、localhost_access_log与系统日志的实时监控与告警；结合WAF/IPS与主机加固（最小权限、最小容器/进程、最小开放端口）构建多层防御；对公网暴露面进行渗透测试与安全评估并闭环整改。