1. 創建專用Tomcat用戶與用戶組
為隔離Tomcat進程與系統關鍵操作�����,需創建專用用戶及用戶組�。常用命令如下:
sudo groupadd tomcat
sudo useradd -M -s /sbin/nologin -g tomcat -d /opt/tomcat tomcat
-M:不創建家目錄(若已存在安裝目錄可省略)����;-s /sbin/nologin:禁止用戶通過shell登錄����,降低安全風險����。
2. 調整Tomcat目錄所有權
將Tomcat安裝目錄(如/opt/tomcat)的所有權賦予tomcat用戶及用戶組�����,確保進程有權訪問:
sudo chown -R tomcat:tomcat /opt/tomcat
-R:遞歸處理目錄及子目錄����、文件����。
3. 設置目錄與文件權限
根據目錄/文件的用途分配合理權限�,遵循最小權限原則:
- 目錄權限:Tomcat目錄(如
bin����、conf�、webapps����、logs)需允許用戶進入和讀取��,設置為755:sudo find /opt/tomcat -type d -exec chmod 755 {} \;
- 文件權限:配置文件(如
conf/server.xml���、web.xml)需限制為僅所有者可寫���,設置為644:sudo find /opt/tomcat -type f -exec chmod 644 {} \;
- 例外情況:
webapps目錄下的應用文件可能需要更嚴格的權限(如750)��,防止未授權訪問:sudo chmod -R 750 /opt/tomcat/webapps
4. 配置Tomcat服務以專用用戶運行
修改systemd服務文件(如/etc/systemd/system/tomcat.service)�,指定運行用戶/組及權限掩碼:
[Service]
User=tomcat
Group=tomcat
UMask=0007
RestartSec=10
Restart=always
修改后需重新加載systemd并重啟Tomcat:
sudo systemctl daemon-reload
sudo systemctl restart tomcat
5. 處理SELinux限制(若啟用)
若系統啟用SELinux�����,需調整上下文以允許Tomcat訪問資源:
- 臨時設置(重啟失效):
sudo chcon -R -t tomcat_sys_content_t /opt/tomcat
- 永久設置:
sudo semanage fcontext -a -t tomcat_sys_content_t "/opt/tomcat(/.*)?"
sudo restorecon -Rv /opt/tomcat
- 端口權限:若Tomcat需綁定80/443等低端口�����,需賦予
CAP_NET_BIND_SERVICE能力:sudo setcap 'cap_net_bind_service=+ep' /opt/tomcat/bin/java
6. 防火墻配置
允許外部訪問Tomcat默認端口(8080)���,并根據需求限制IP范圍:
sudo firewall-cmd --permanent --zone=public --add-port=8080/tcp
sudo firewall-cmd --reload
或使用ufw(Ubuntu):
sudo ufw allow 8080/tcp
sudo ufw reload
7. 安全加固措施
