Linux Tomcat安全设置方法

删除多余账号：修改/conf/tomcat-users.xml，移除与运维无关的账号（如示例中的tomcat1），避免未授权账户存在。
设置口令复杂度：为用户（如admin）配置强密码，要求长度≥8位，包含数字、小写字母、大写字母、特殊符号中的至少3类（如s3cr3t!*）。
最小权限分配：仅为必要用户分配角色（如manager-gui用于管理界面、admin-gui用于后台管理），避免过度授权。
非root启动服务：创建专用用户（如tomcat），并通过chown -R tomcat:tomcat /opt/tomcat将Tomcat目录归属该用户，禁止以root身份启动服务（可通过ps -ef | grep tomcat验证进程用户）。

修改默认端口：编辑/conf/server.xml，将HTTP端口从8080改为非标准端口（如8081），减少自动化扫描风险。
限制管理界面IP：在/webapps/manager/META-INF/context.xml中添加RemoteAddrValve，仅允许本地（127.0.0.1）或指定IP访问管理界面（如allow="127\.\\d+\\.\\d+\\.\\d+|::1"）。
端口仅本地访问：通过Tomcat配置（server.xml中Connector添加address="127.0.0.1"）或防火墙（iptables/firewalld）限制Tomcat端口仅本地访问，避免外部直接连接。

启用访问日志：在/conf/server.xml的<Host>标签内添加AccessLogValve，配置日志路径（如logs/localhost_access_log.）、前缀、后缀（如.txt）及格式（pattern="common"），记录访问源IP、请求方法、URL、响应状态等信息。
设置日志级别：调整/conf/logging.properties，将关键组件（如org.apache.catalina.core.ContainerBase）日志级别设为FINE，便于排查安全事件。

启用HTTPS加密：通过keytool生成自签名证书（keytool -genkey -alias tomcat -keyalg RSA -keystore /path/to/keystore），修改server.xml添加Connector（port="8443"、SSLEnabled="true"、keystoreFile指向证书路径），强制使用HTTPS传输。
禁用非法HTTP方法：编辑/webapps/your_app/WEB-INF/web.xml，添加<init-param><param-name>readonly</param-name><param-value>true</param-value></init-param>，禁止PUT、DELETE等危险方法。
隐藏版本信息：修改server.xml中的Connector，添加server="MyAppServer/1.0"，避免泄露Tomcat版本，减少针对性攻击。

设置超时登出：修改server.xml中的Connector，将connectionTimeout设为30000（30秒），避免长时间空闲连接占用资源。
配置错误页面重定向：编辑/conf/web.xml，添加<error-page>规则（如404转向noFile.htm、NullPointerException转向error.jsp），隐藏敏感错误信息。
禁用自动部署：修改server.xml中的Host标签，设置autoDeploy="false"、unpackWARs="false"，防止恶意WAR文件自动部署。

设置目录权限：将Tomcat目录归属专用用户（如tomcat:tomcat），配置conf目录为644（用户可读写、组及其他只读）、logs/temp/webapps目录为755（用户可读写执行、组及其他可读执行），避免权限过高导致文件被篡改。
清理默认应用：删除webapps目录下的docs、examples、ROOT、host-manager等默认应用，减少潜在攻击面。

定期更新Tomcat：关注Apache Tomcat官网安全公告，及时升级至最新稳定版本，修复已知漏洞。
监控异常行为：通过日志分析工具（如ELK、Splunk）监控Tomcat访问日志，识别频繁的失败登录、异常请求（如大量404错误）等行为，及时响应。

最新问答