如何定制Debian Tomcat安全策略

Debian 上定制 Tomcat 安全策略

一 运行身份与最小权限

• 创建专用系统用户与组（禁止登录 shell），仅授予 Tomcat 目录必要权限：
  • 创建用户组与用户：sudo groupadd tomcat；sudo useradd -s /bin/false -g tomcat -d /opt/tomcat tomcat
  • 调整目录属主与权限：sudo chown -R tomcat:tomcat /opt/tomcat；sudo chmod -R 750 /opt/tomcat
• 以非特权用户运行服务：
  • 使用发行版包时，创建或编辑服务单元（如 /etc/systemd/system/tomcat.service），在 [Service] 中设置 User=tomcat、Group=tomcat，并确保 ExecStart 指向解压版或包内启动脚本（如 /opt/tomcat/bin/startup.sh 或 /usr/share/tomcat9/bin/catalina.sh run）。
  • 避免以 root 直接启动 Tomcat，降低被提权风险。

二 最小化攻击面

• 删除或禁用管理应用与示例内容：
  • 删除示例与文档：rm -rf /opt/tomcat/webapps/docs /opt/tomcat/webapps/examples
  • 禁用管理控制台（二选一）：删除 /opt/tomcat/webapps/manager 与 /opt/tomcat/webapps/host-manager；或将其重命名（如 manager_disabled）。
• 关闭不必要的连接器与功能：
  • 如无反向代理或历史依赖，禁用 AJP 连接器（server.xml 中移除或注释 <Connector protocol=“AJP/1.3” … />）。
  • 关闭自动部署以减少被上传 WAR 的风险：在 Host 配置中将 autoDeploy=“false”、必要时将 unpackWARs=“false”。
• 修改默认端口为非标准值（示例：1234），降低自动化扫描命中率（server.xml 中 <Connector port=“1234” … />）。
• 隐藏版本信息：在 server.xml 的 Connector 上设置 server=“Custom Server Name”，减少信息泄露。

三 传输加密与访问控制

• 启用 HTTPS/TLS：
  • 使用 keytool 生成自签名或导入正式证书，配置 ；生产环境建议将 HTTP 请求重定向至 8443。
• 强化访问控制：
  • 通过 ufw 仅开放必要端口与来源网段（示例：sudo ufw allow from 192.168.1.0/24 to any port 1234,8443）；如无需公网管理，直接禁止外网访问管理端口。
  • 若必须保留管理应用，务必仅在内网开放，并使用强口令与最小权限角色分配（manager-gui/admin-gui）。

四 日志审计与运行加固

• 启用访问日志与错误日志：
  • 在 server.xml 的 Host 中确保存在 AccessLogValve（记录来源 IP、请求、状态码等），并配置 ErrorReportValve 的 showReport/showServerInfo 为 false，避免泄露堆栈与服务器信息。
• 自定义错误页面：
  • 在 conf/web.xml 配置 统一跳转至自定义错误页，减少敏感细节暴露。
• 会话与 Cookie 安全：
  • 在 conf/context.xml 的 上设置 useHttpOnly=“true”，必要时开启 secure=“true”（仅限启用 HTTPS 时）。
• 安全 HTTP 头（可选增强）：
  • 在 web.xml 的 中配置 HttpHeaderSecurityFilter（如 X-Frame-Options、X-XSS-Protection、X-Content-Type-Options）以降低点击劫持与 XSS 风险。
• 日志轮转与审计：
  • 在 conf/logging.properties 配置按日滚动与保留策略；结合 logwatch 或集中式日志平台进行异常审计与告警。

五 维护与合规清单

• 持续更新与补丁管理：
  • 定期执行 sudo apt update && sudo apt full-upgrade；关注 Debian 安全公告 与 Tomcat 官方安全通告，及时升级 Tomcat 与 JDK。
• 备份与变更管理：
  • 变更前备份 server.xml、web.xml、tomcat-users.xml、context.xml、logging.properties 等关键配置；变更后使用 sudo systemctl restart tomcat9 或相应服务名使配置生效，并验证应用可用性。
• 基线核查要点：
  • 运行用户为 非 root；管理应用已禁用或严格内网受限；仅开放 1234/8443 等必要端口；启用 HTTPS；访问日志与错误日志正常输出；JVM 与连接器参数按业务调优并限制资源占用。