centos下tomcat安全設置方法

在CentOS系統下對Tomcat進行安全設置，可以遵循以下步驟：

1. 初始化配置

• 刪除webapps下的所有代碼：首次安裝完成后立即刪除/srv/apache-tomcat/webapps/*，以防止惡意代碼的部署。
• 注釋或刪除tomcat-users.xml中的所有用戶權限：這樣可以限制對Tomcat管理界面的訪問。
• 隱藏Tomcat版本信息：
  • 編輯$CATALINA_HOME/conf/server.xml，在Connector節點添加server字段，例如：

  <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443"
             maxThreads="8192" minSpareThreads="64" maxSpareThreads="128"
             acceptCount="128" enableLookups="false" server="MyAppSrv 1.0"/>
  

  • 或者修改$CATALINA_HOME/lib/catalina.jar中的ServerInfo.properties文件，刪除或修改ServerInfo.properties文件中的server.info和server.number字段。

2. 啟動用戶與端口

• 不要使用root用戶啟動Tomcat：創建一個新用戶，例如useradd tomcat，并為該用戶賦予Tomcat目錄的權限：chown -R tomcat:tomcat /usr/java/tomcat7/*。然后使用該用戶啟動Tomcat。
• 解決80端口問題：可以使用iptables進行端口轉發，將80端口的請求轉發到8080端口：

  iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
  

  或者在Tomcat前端增加反向代理，例如使用Nginx。

3. 應用程序安全

• 關閉war自動部署：在$CATALINA_HOME/conf/server.xml中的host字段，修改unpackWARs="false"和autoDeploy="false"。
• 應用程序部署與Tomcat啟動用戶分離：確保應用程序目錄的權限與Tomcat啟動用戶不同，以防止惡意代碼寫入。

4. JSESSIONID修改

• 修改Cookie變量JSESSIONID：將JSESSIONID改為PHPSESSID，以減少會話劫持的風險。

5. 其他安全設置

• 配置SSL/TLS：為了加密傳輸數據，可以配置Tomcat以使用SSL/TLS協議。首先需要生成證書和密鑰文件，然后在server.xml中配置SSL/TLS連接器。
• 配置訪問控制：通過配置web.xml文件，可以限制特定的URL只能被特定的用戶或角色訪問。
• 配置安全認證：Tomcat支持多種安全認證方式，包括基于表單的認證、基本認證、摘要認證等。
• 配置防火墻規則：在服務器層面，可以配置防火墻和安全組規則，限制對Tomcat服務的訪問。
• 禁用默認的管理器應用程序：刪除webapps目錄下的manager和host-manager目錄。
• 禁用AJP端口：如果不需要使用AJP端口，可以在server.xml中將AJP端口改為“-1”。

以上步驟可以幫助提高Tomcat在CentOS系統下的安全性。在進行任何配置更改后，建議重啟Tomcat服務以使更改生效。