怎样在CentOS上安全配置Tomcat

一、初始化配置：消除默认风险

• 删除默认Web应用：首次安装后，执行rm -rf /opt/tomcat/webapps/*清除webapps目录下的所有默认应用（如ROOT、docs、examples），避免恶意代码通过默认路径部署。
• 清理默认用户：注释或删除conf/tomcat-users.xml中的所有<user>和<role>配置（如manager-gui、admin-gui角色），防止未授权访问管理界面。
• 隐藏版本信息：修改conf/server.xml中的<Connector>标签，添加server="CustomServer/1.0"属性（如<Connector port="8080" protocol="HTTP/1.1" server="MyAppServer/1.0">），避免泄露Tomcat版本，降低针对性攻击风险。

二、用户与端口管理：降低攻击面

• 使用非root用户启动：创建专用用户（如tomcat）并赋予权限：useradd -r -m -d /opt/tomcat -s /sbin/nologin tomcat，然后修改Tomcat目录所有权：chown -R tomcat:tomcat /opt/tomcat，最后通过sudo -u tomcat ./startup.sh启动，避免以root权限运行。
• 配置防火墙规则：使用firewalld限制访问，仅允许必要端口（如8080、8443）：

  sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent # HTTP sudo firewall-cmd --zone=public --add-port=8443/tcp --permanent # HTTPS sudo firewall-cmd --reload 

  如需更严格限制，可使用iptables仅允许可信IP访问：

  sudo iptables -A INPUT -p tcp --dport 8080 -s 192.168.1.0/24 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 8080 -j DROP 

三、应用程序安全：防范恶意部署

• 关闭自动部署：修改server.xml中的<Host>标签，设置autoDeploy="false"和unpackWARs="false"，防止恶意WAR文件自动解压和部署：

  <Host name="localhost" appBase="webapps" unpackWARs="false" autoDeploy="false"> 

• 移除不必要的组件：删除webapps目录下的docs、examples、host-manager、manager等默认应用（可通过rm -rf /opt/tomcat/webapps/{docs,examples,host-manager,manager}命令），减少潜在攻击入口。

四、SSL/TLS配置：加密数据传输

• 生成SSL证书：使用OpenSSL生成自签名证书（生产环境建议使用CA证书）：

  openssl req -newkey rsa:2048 -nodes -keyout /etc/pki/tls/private/tomcat.key -x509 -days 365 -out /etc/pki/tls/certs/tomcat.crt 

• 配置HTTPS连接器：修改server.xml，添加以下<Connector>（替换证书路径和密码）：

  <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/etc/pki/tls/certs/tomcat.crt" keystorePass="your_password" clientAuth="false" sslProtocol="TLS"/> 

  此配置启用HTTPS，强制数据加密传输。

五、会话安全：防范会话劫持

• 修改JSESSIONID属性：在context.xml（全局）或应用级META-INF/context.xml中，添加以下配置：

  <Context sessionCookieHttpOnly="true" sessionCookieSecure="true" sessionCookiePath="/yourapp"> 

  HttpOnly防止XSS攻击窃取Cookie，Secure确保Cookie仅通过HTTPS传输。

六、权限与目录管理：限制非法访问

• 设置正确目录权限：确保Tomcat目录权限合理，避免未授权修改：

  chown -R tomcat:tomcat /opt/tomcat # 所有文件属主为tomcat chmod -R 755 /opt/tomcat/bin/*.sh # 限制脚本执行权限 chmod -R 750 /opt/tomcat/webapps # 限制Web应用目录访问 

• 禁用目录列表：修改conf/web.xml，找到<servlet>标签（名称为default），添加listings="false"：

  <servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> <init-param> <param-name>listings</param-name> <param-value>false</param-value> </init-param> </servlet> 

  防止Tomcat列出目录内容，避免敏感文件泄露。

七、访问控制：精细化权限管理

• 限制管理界面访问：修改webapps/manager/META-INF/context.xml（或host-manager），添加RemoteAddrValve限制IP访问（如仅允许本地或内网IP）：

  <Context antiResourceLocking="false" privileged="true"> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127\.\d+\.\d+\.\d+|192\.168\.\d+\.\d+" /> </Context> 

  生产环境中，建议将allow设置为可信IP段。
• 配置安全约束：在应用的WEB-INF/web.xml中，添加安全约束保护敏感资源（如/admin/*路径）：

  <security-constraint> <web-resource-collection> <web-resource-name>Admin Area</web-resource-name> <url-pattern>/admin/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>admin</role-name> </auth-constraint> </security-constraint> <login-config> <auth-method>BASIC</auth-method> <realm-name>Protected Area</realm-name> </login-config> <security-role> <role-name>admin</role-name> </security-role> 

  此配置要求访问/admin/*路径的用户必须具备admin角色。

八、日志与更新：持续监控与修复

• 启用详细日志：修改conf/logging.properties，调整日志级别（如org.apache.catalina.level=FINE），记录详细访问和操作日志，便于后续审计。
• 定期更新与补丁：定期检查Tomcat官网（apache.org）发布的安全补丁，升级至最新稳定版本（如Tomcat 9.0.x或10.0.x），修复已知漏洞。