centos上tomcat安全設置怎么做

在CentOS上設置Tomcat的安全配置，可以遵循以下步驟：

1. 安裝后初始化配置：

   • 刪除webapps目錄下的所有內容：rm -rf /srv/apache-tomcat/webapps/*
   • 注釋或刪除tomcat-users.xml中的所有用戶權限。
   • 隱藏Tomcat版本信息：

     vim $CATALINA_HOME/conf/server.xml
     

     在<Connector>標簽中添加server="YourAppName"。
   • 創建一個新用戶并賦予其Tomcat目錄的權限：

     useradd -m tomcat
     chown -R tomcat:tomcat /usr/java/tomcat7
     

   • 使用非root用戶啟動Tomcat，例如tomcat用戶。

2. 啟動用戶與端口：

   • 避免使用root用戶啟動Tomcat，可以創建一個新用戶并賦予其權限來啟動Tomcat。
   • 如果使用80端口，可以通過iptables進行端口轉發：

     iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
     

3. 應用程序安全：

   • 關閉war自動部署：

     <Context unpackWARs="false" autoDeploy="false"/>
     

   • 應用程序部署目錄權限與Tomcat服務啟動用戶分離。
   • 刪除默認目錄：

     rm -rf /srv/apache-tomcat/webapps/*
     

4. 修改Cookie變量：

   • 修改context.xml文件，啟用HttpOnly屬性：

     <Context useHttpOnly="true">
     

5. 其他安全配置：

   • 禁用目錄列表： 在web.xml中添加：

     <servlet>
         <servlet-name>default</servlet-name>
         <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
         <init-param>
             <param-name>listings</param-name>
             <param-value>false</param-value>
         </init-param>
     </servlet>
     

   • 啟用SSL/TLS： 編輯server.xml文件，添加以下內容：

     <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true">
         <SSLHostConfig>
             <Certificate certificateKeystoreFile="/path/to/keystore.jks" type="RSA" />
         </SSLHostConfig>
     </Connector>
     

   • 限制管理控制臺的訪問： 編輯$CATALINA_HOME/conf/tomcat-users.xml文件，添加具有不同權限的角色和用戶。

6. 操作系統級別的安全措施：

   • 配置防火墻規則，限制對Tomcat端口的訪問：

     sudo iptables -A INPUT -p tcp --dport 8081 -j ACCEPT
     sudo iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
     sudo iptables -A INPUT -j DROP
     

7. 定期更新和打補丁：

   • 確保Tomcat和所有相關組件都是最新版本，并及時應用安全補丁。

通過以上步驟，可以顯著提高Tomcat在CentOS系統上的安全性。