1. 降权启动Tomcat:避免root权限风险
以非root用户运行Tomcat是基础安全措施,可防止服务被入侵后直接获取系统root权限。创建专用系统用户(如tomcat),并将其设为Tomcat目录的所有者:
sudo useradd -m -d /opt/tomcat -U -s /bin/false tomcat # 创建无登录权限的系统用户 sudo chown -R tomcat:tomcat /opt/tomcat # 设置目录属主 修改Tomcat启动脚本(如/opt/tomcat/bin/startup.sh),在首行添加su - tomcat -c,确保以tomcat用户身份启动服务。
2. 删除默认应用与禁用自动部署:减少攻击面
Tomcat默认安装的docs、examples、ROOT等应用包含敏感信息(如路径配置),易成为攻击入口。删除webapps目录下所有默认应用:
rm -rf /opt/tomcat/webapps/* 同时,在server.xml中禁用自动部署(避免未经审核的应用自动上线):
<Host name="localhost" appBase="/opt/tomcat/webapps" unpackWARs="false" autoDeploy="false"> 3. 配置防火墙:限制端口访问
使用ufw(Uncomplicated Firewall)仅允许必要端口(如HTTP 8080、HTTPS 8443、SSH 22)对外开放,阻止非法IP访问:
sudo ufw allow 22/tcp # 允许SSH(管理服务器必需) sudo ufw allow 8080/tcp # 允许HTTP(若未启用HTTPS) sudo ufw allow 8443/tcp # 允许HTTPS sudo ufw enable # 启用防火墙 sudo ufw status # 验证规则(应显示ALLOW规则) 4. 启用HTTPS与SSL/TLS:加密数据传输
使用Let’s Encrypt免费证书实现HTTPS,避免数据在传输过程中被窃取或篡改。获取证书并配置Tomcat:
sudo snap install --classic certbot # 安装Certbot sudo certbot certonly --standalone -d yourdomain.com -m your@email.com --agree-tos # 获取证书 sudo cp /etc/letsencrypt/live/yourdomain.com/*.pem /opt/tomcat/conf/ # 复制证书到Tomcat目录 sudo chown -R tomcat:tomcat /opt/tomcat/conf/*.pem # 设置正确权限 修改server.xml,添加HTTPS连接器:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/opt/tomcat/conf/cert.pem" keystorePass="your_cert_password" clientAuth="false" sslProtocol="TLS"/> 5. 隐藏Tomcat版本信息:降低针对性攻击风险
修改server.xml中的Connector节点,添加server属性掩盖版本:
<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" server="Custom Tomcat Server"/> # 替换为自定义名称 进一步修改catalina.jar中的ServerInfo.properties文件(位于org/apache/catalina/util目录),替换版本信息(需解压jar包编辑后重新打包)。
6. 强化管理界面安全:限制访问与权限
仅在必要时启用manager-gui和admin-gui,并为管理用户设置强密码(包含大小写字母、数字、特殊字符)。编辑tomcat-users.xml:
<tomcat-users> <role rolename="manager-gui"/> <role rolename="admin-gui"/> <user username="secure_admin" password="ComplexPass123!" roles="manager-gui,admin-gui"/> </tomcat-users> 通过server.xml限制管理界面访问IP(如仅允许公司IP):
<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="192\.168\.1\.\d+" /> # 替换为允许的IP段 7. 定期更新与补丁管理:修复已知漏洞
保持Tomcat和Java为最新稳定版本,及时应用安全补丁。使用apt更新(若通过包管理器安装):
sudo apt update && sudo apt upgrade tomcat9 openjdk-11-jdk # 根据实际版本调整 若手动安装,定期访问Apache Tomcat官网下载最新版本并替换旧文件。
8. 配置日志权限与监控:及时发现异常
修改Tomcat日志目录权限,确保tomcat用户可写入,同时限制其他用户访问:
sudo chown -R tomcat:tomcat /opt/tomcat/logs sudo chmod -R 750 /opt/tomcat/logs 定期审查catalina.out和localhost_access_log文件(使用tail -f实时监控),设置日志轮转(通过logrotate工具)防止日志过大。
9. 禁用不必要的组件与服务:减少漏洞点
若无需AJP协议(常用于Apache反向代理),注释server.xml中的AJP连接器:
<!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> --> 关闭Tomcat的JMX远程管理(若未使用),编辑catalina.sh,注释-Dcom.sun.management.jmxremote相关配置。
10. 应用层安全配置:增强Web应用防护
在web.xml中配置自定义错误页面(避免暴露敏感信息),禁止目录列表:
<error-page> <error-code>404</error-code> <location>/error/404.html</location> # 自定义404页面 </error-page> <error-page> <error-code>500</error-code> <location>/error/500.html</location> # 自定义500页面 </error-page> <security-constraint> <web-resource-collection> <web-resource-name>Disable Directory Listing</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint/> </security-constraint> 启用Cookie的HttpOnly和Secure属性(在context.xml中):
<Context useHttpOnly="true"> <CookieProcessor sameSiteCookies="strict"/> </Context> 
