centos中tomcat安全配置方法

CentOS中Tomcat安全配置方法

1. 初始化配置

• 刪除默認目錄：首次安裝Tomcat后，刪除webapps目錄下的所有默認應用（如docs、examples、manager等），防止惡意代碼通過默認應用部署到服務器。命令：rm -rf /opt/tomcat/webapps/*（路徑以實際安裝目錄為準）。
• 清理默認用戶：注釋或刪除conf/tomcat-users.xml中的所有用戶和角色定義，避免未授權用戶通過默認賬戶訪問管理界面。
• 隱藏版本信息：修改conf/server.xml中的Connector節點，添加server屬性（如server="MyAppServer/1.0"），隱藏Tomcat版本號，降低攻擊者針對性利用漏洞的風險。

2. 用戶與權限管理

• 使用非root用戶啟動：創建專用用戶（如tomcat）運行Tomcat，避免以root身份運行導致權限過高。命令：

  sudo useradd -r -m -d /opt/tomcat -s /bin/false tomcat
  sudo chown -R tomcat:tomcat /opt/tomcat
  

• 配置用戶角色：編輯conf/tomcat-users.xml，僅添加必要的用戶及角色（如manager-gui用于管理界面、admin用于應用管理），并為每個角色分配最小權限。示例：

  <tomcat-users>
      <role rolename="manager-gui"/>
      <role rolename="admin-gui"/>
      <user username="admin" password="StrongPassword123!" roles="manager-gui,admin-gui"/>
  </tomcat-users>
  

• 配置SELinux（若啟用）：若系統啟用SELinux，需設置正確的上下文以允許Tomcat訪問資源。命令：

  sudo chcon -R -t httpd_sys_content_t /opt/tomcat
  sudo chcon -R -t httpd_sys_rw_content_t /opt/tomcat/logs
  

3. 端口與服務管理

• 修改默認端口：更改server.xml中Connector的port屬性（如將HTTP端口從8080改為8081，HTTPS從8443改為8444），避免使用默認端口被掃描工具快速識別。
• 配置防火墻：使用firewalld限制訪問Tomcat端口的IP地址，僅允許可信IP訪問。示例：

  sudo firewall-cmd --zone=public --add-port=8081/tcp --permanent  # 允許修改后的HTTP端口
  sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="8081" accept'  # 僅允許特定IP
  sudo firewall-cmd --reload
  

4. 應用安全配置

• 關閉自動部署：在server.xml的Host節點中，設置unpackWARs="false"和autoDeploy="false"，防止惡意WAR文件自動解壓和部署。示例：

  <Host name="localhost" appBase="webapps" unpackWARs="false" autoDeploy="false">
  

• 禁用目錄列表：編輯webapps/yourapp/WEB-INF/web.xml，添加listings="false"，防止目錄結構泄露敏感文件。示例：

  <servlet>
      <servlet-name>default</servlet-name>
      <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
      <init-param>
          <param-name>listings</param-name>
          <param-value>false</param-value>
      </init-param>
  </servlet>
  

• 強化會話安全：在context.xml中，設置sessionCookieHttpOnly="true"（防止XSS竊取Cookie）、sessionCookieSecure="true"（僅通過HTTPS傳輸Cookie）。示例：

  <Context sessionCookieHttpOnly="true" sessionCookieSecure="true">
  

5. SSL/TLS加密配置

• 生成SSL證書：使用OpenSSL生成自簽名證書（生產環境建議使用CA頒發的證書）。命令：

  openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout /etc/pki/tls/private/tomcat.key -out /etc/pki/tls/certs/tomcat.crt
  

• 配置HTTPS連接器：編輯server.xml，添加Connector節點，啟用HTTPS并指定證書路徑。示例：

  <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
             SSLEnabled="true" scheme="https" secure="true"
             keystoreFile="/etc/pki/tls/certs/tomcat.crt"
             keystorePass="yourKeystorePassword"/>
  

6. 操作系統級安全

• 限制Tomcat進程權限：通過Systemd服務文件（/etc/systemd/system/tomcat.service）設置Tomcat以tomcat用戶身份運行。示例[Service]部分：

  [Service]
  User=tomcat
  Group=tomcat
  ExecStart=/opt/tomcat/bin/startup.sh
  ExecStop=/opt/tomcat/bin/shutdown.sh
  Restart=on-failure
  

• 定期更新Tomcat：關注Apache Tomcat官網的安全公告，及時升級到最新版本，修復已知漏洞。

7. 日志與監控

• 啟用詳細日志：配置conf/logging.properties，開啟org.apache.catalina和org.apache.tomcat包的FINE級別日志，記錄訪問和操作詳情，便于安全審計。
• 定期檢查日志：使用tail或grep命令定期查看logs/catalina.out和logs/localhost_access_log.*.txt，監控異常訪問（如頻繁的404錯誤、可疑IP地址）。