1. 创建专用Tomcat用户和组
为避免以root用户运行Tomcat(降低安全风险),需创建专用系统用户和组。执行以下命令:
sudo groupadd tomcat # 创建tomcat组 sudo useradd -s /bin/false -g tomcat -d /opt/tomcat tomcat # 创建tomcat用户(禁用登录shell,指定主目录) 2. 下载并解压Tomcat到指定目录
推荐将Tomcat安装在/opt目录(系统级应用专用目录),以保持文件结构规范。例如,安装Tomcat 9:
cd /tmp # 切换到临时目录 wget https://downloads.apache.org/tomcat/tomcat-9/v9.0.76/bin/apache-tomcat-9.0.76.tar.gz # 下载Tomcat(以9.0.76为例) sudo tar -zxvf apache-tomcat-9.0.76.tar.gz -C /opt/ # 解压到/opt sudo mv /opt/apache-tomcat-9.0.76 /opt/tomcat # 重命名为tomcat(简化路径) 3. 设置Tomcat目录所有权与权限
将Tomcat目录的所有权转移给tomcat用户和组,并配置合理权限:
sudo chown -R tomcat:tomcat /opt/tomcat # 递归修改所有权(用户:组) sudo chmod -R 750 /opt/tomcat # 递归设置权限:所有者可读/写/执行,组可读/执行,其他无权限 sudo chmod +x /opt/tomcat/bin/*.sh # 允许tomcat用户执行bin目录下的脚本(如startup.sh) 关键目录权限说明:
conf/(配置文件):需严格限制为tomcat:tomcat+750(防止未授权修改);logs/、temp/、work/(运行时目录):保持tomcat:tomcat+750(避免日志被篡改或临时文件泄露);webapps/(应用部署目录):可设置为tomcat:tomcat+755(允许应用读取,但写入需通过管理接口控制)。4. 配置systemd服务以tomcat用户运行
Debian使用systemd管理服务,需编辑Tomcat的systemd单元文件,指定运行用户和组:
sudo nano /etc/systemd/system/tomcat.service # 创建或编辑服务文件 粘贴以下内容(根据Tomcat版本调整路径,如tomcat9对应/usr/share/tomcat9):
[Unit] Description=Apache Tomcat Web Application Container After=network.target [Service] Type=forking Environment="JAVA_HOME=/usr/lib/jvm/default-java" # 指向系统JDK路径 Environment="CATALINA_PID=/opt/tomcat/temp/tomcat.pid" Environment="CATALINA_HOME=/opt/tomcat" Environment="CATALINA_BASE=/opt/tomcat" Environment='CATALINA_OPTS=-Xms512M -Xmx1024M -server -XX:+UseParallelGC' # 内存配置 Environment='JAVA_OPTS=-Djava.awt.headless=true -Djava.security.egd=file:/dev/./urandom' # 无头模式 ExecStart=/opt/tomcat/bin/startup.sh ExecStop=/opt/tomcat/bin/shutdown.sh User=tomcat Group=tomcat UMask=0007 # 设置文件创建掩码(默认权限为770-0007=763,即所有者rwx,组r-x,其他无) RestartSec=10 Restart=always # 失败时自动重启 [Install] WantedBy=multi-user.target 保存后,重新加载systemd配置并启动Tomcat:
sudo systemctl daemon-reload sudo systemctl start tomcat sudo systemctl enable tomcat # 设置开机自启 5. 验证Tomcat运行状态
检查Tomcat服务是否正常运行,以及是否以tomcat用户身份执行:
sudo systemctl status tomcat # 查看服务状态(应显示“active (running)”) ps -ef | grep tomcat # 查看Tomcat进程(USER列应为tomcat) 在浏览器中访问http://服务器IP:8080,若看到Tomcat默认欢迎页面,则说明配置成功。
6. (可选)配置Tomcat管理界面权限
若需通过Web界面管理Tomcat(如部署应用、查看日志),需编辑tomcat-users.xml文件添加用户及角色:
sudo nano /opt/tomcat/conf/tomcat-users.xml 在<tomcat-users>标签内添加以下内容(替换为强密码):
<role rolename="manager-gui"/> <!-- 管理界面访问权限 --> <role rolename="admin-gui"/> <!-- 管理员权限 --> <user username="admin" password="YourSecurePassword123!" roles="manager-gui,admin-gui"/> 保存后,重启Tomcat使配置生效:
sudo systemctl restart tomcat 注意:生产环境中,建议启用Tomcat的SSL加密(修改server.xml配置HTTPS)并限制管理界面的访问IP(通过<Valve>标签),进一步提升安全性。
