Tomcat在Linux上的权限管理

1. 创建专用Tomcat用户与用户组
为隔离Tomcat进程与系统关键操作，需创建专用用户及用户组。常用命令如下：

sudo groupadd tomcat # 创建tomcat用户组 sudo useradd -M -s /sbin/nologin -g tomcat -d /opt/tomcat tomcat # 创建无登录权限的tomcat用户（家目录设为Tomcat安装路径）

2. 调整Tomcat目录所有权
将Tomcat安装目录（如/opt/tomcat）的所有权赋予tomcat用户及用户组，确保进程有权访问：

sudo chown -R tomcat:tomcat /opt/tomcat # 递归修改所有权

3. 设置目录与文件权限
根据目录/文件的用途分配合理权限，遵循最小权限原则：

目录权限：Tomcat目录（如bin、conf、webapps、logs）需允许用户进入和读取，设置为755：

sudo find /opt/tomcat -type d -exec chmod 755 {} \; # 仅所有者有写权限，其他用户可读/执行

文件权限：配置文件（如conf/server.xml、web.xml）需限制为仅所有者可写，设置为644：
```
sudo find /opt/tomcat -type f -exec chmod 644 {} \; # 所有者可读/写，其他用户只读 
```
例外情况：webapps目录下的应用文件可能需要更严格的权限（如750），防止未授权访问：
```
sudo chmod -R 750 /opt/tomcat/webapps # 仅所有者和组可访问 
```

4. 配置Tomcat服务以专用用户运行
修改systemd服务文件（如/etc/systemd/system/tomcat.service），指定运行用户/组及权限掩码：

[Service] User=tomcat Group=tomcat UMask=0007 # 设置文件创建权限掩码（所有者可读/写/执行，组可读/执行，其他用户无权限） RestartSec=10 Restart=always

修改后需重新加载systemd并重启Tomcat：

sudo systemctl daemon-reload sudo systemctl restart tomcat

5. 处理SELinux限制（若启用）
若系统启用SELinux，需调整上下文以允许Tomcat访问资源：

临时设置（重启失效）：

sudo chcon -R -t tomcat_sys_content_t /opt/tomcat # 修改Tomcat目录上下文

永久设置：

sudo semanage fcontext -a -t tomcat_sys_content_t "/opt/tomcat(/.*)?" # 添加永久上下文规则 sudo restorecon -Rv /opt/tomcat # 恢复目录上下文

端口权限：若Tomcat需绑定80/443等低端口，需赋予CAP_NET_BIND_SERVICE能力：
```
sudo setcap 'cap_net_bind_service=+ep' /opt/tomcat/bin/java 
```

6. 防火墙配置
允许外部访问Tomcat默认端口（8080），并根据需求限制IP范围：

sudo firewall-cmd --permanent --zone=public --add-port=8080/tcp # CentOS系统 sudo firewall-cmd --reload

或使用ufw（Ubuntu）：

sudo ufw allow 8080/tcp sudo ufw reload

7. 安全加固措施

清理无用账号：编辑/opt/tomcat/conf/tomcat-users.xml，删除测试账号（如tomcat、manager），仅保留必要角色（如admin-gui、manager-gui）。
设置强密码：为Tomcat用户配置包含大小写字母、数字、特殊符号的8位以上密码。
限制管理控制台访问：通过server.xml配置RemoteAddrValve，仅允许可信IP访问管理接口：
```
<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="192\.168\.1\.\d+" /> 
```
禁用不必要服务：关闭Tomcat的AJP协议（若无需与Apache集成）、关闭目录列表等功能。

最新问答