centos中tomcat权限设置指南

在CentOS中设置Tomcat的权限涉及多个方面，包括目录和文件的权限设置、用户权限管理、以及安全配置等。以下是一个详细的指南：

1. 设置Tomcat目录和文件权限

• 创建Tomcat用户：首先，创建一个非root用户来运行Tomcat服务。

  sudo useradd tomcat_user
  sudo passwd tomcat_user
  

• 设置Tomcat目录权限：将Tomcat安装目录及其子目录的所有者和组设置为tomcat_user，并赋予适当的权限。

  sudo chown -R tomcat_user:tomcat_user /path/to/tomcat
  sudo chmod -R 755 /path/to/tomcat
  

• 修改脚本权限：确保Tomcat的启动和关闭脚本具有执行权限。

  sudo chmod +x /path/to/tomcat/bin/*.sh
  

2. 配置Tomcat用户和角色

• 编辑tomcat-users.xml：配置Tomcat用户及其角色，以管理对管理界面和应用程序的访问。

  <tomcat-users>
      <role rolename="manager-gui"/>
      <user username="tomcat_user" password="password" roles="manager-gui"/>
  </tomcat-users>
  

3. 安全配置

• 删除默认内容：首次安装完成后，删除webapps目录下的所有内容，以防止恶意代码的部署。

  sudo rm -rf /path/to/tomcat/webapps/*
  

• 隐藏Tomcat版本信息：修改server.xml文件，添加server属性以隐藏Tomcat版本信息。

  <Connector port="8080" protocol="HTTP/1.1"
             connectionTimeout="20000" redirectPort="8443"
             server="MyAppServer/1.0"/>
  

• 配置防火墙：允许特定端口的访问，并禁止其他端口的访问。

  sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
  sudo firewall-cmd --reload
  

• 关闭自动部署：在server.xml中设置unpackWARs="false"和autoDeploy="false"，以防止自动部署恶意WAR文件。

  <Context docBase="/path/to/tomcat/webapps/yourapp" unpackWARs="false" autoDeploy="false"/>
  

4. 使用Systemd管理Tomcat服务

• 创建Systemd服务文件：创建并启用Tomcat的Systemd服务文件，以便更好地管理Tomcat服务。

  sudo nano /etc/systemd/system/tomcat.service
  

  内容示例：

  [Unit]
  Description=Apache Tomcat Web Application Container
  After=network.target
  
  [Service]
  Type=forking
  
  Environment=JAVA_HOME=/usr/java/latest
  Environment=CATALINA_PID=/opt/tomcat/temp/tomcat.pid
  Environment=CATALINA_HOME=/opt/tomcat
  Environment=CATALINA_BASE=/opt/tomcat
  Environment='CATALINA_OPTS=-Xms512M -Xmx1024M -server -XX:+UseParallelGC'
  Environment='JAVA_OPTS=-Djava.awt.headless=true -Djava.security.egd=file:/dev/./urandom'
  
  ExecStart=/opt/tomcat/bin/startup.sh
  ExecStop=/opt/tomcat/bin/shutdown.sh
  
  User=tomcat_user
  Group=tomcat_user
  UMask=0007
  RestartSec=10
  Restart=always
  
  [Install]
  WantedBy=multi-user.target
  

• 启用并启动Tomcat服务：

  sudo systemctl daemon-reload
  sudo systemctl enable tomcat
  sudo systemctl start tomcat
  

5. 解决用户切换时的资源限制问题

• 修改用户资源限制：编辑/etc/security/limits.d/90-nproc.conf和/etc/security/limits.conf文件，增加最大进程数和文件描述符的限制。

  vi /etc/security/limits.d/90-nproc.conf
  soft nproc 4096
  hard nproc 8192
  
  vi /etc/security/limits.conf
  tomcat_user soft nproc 4096
  tomcat_user hard nproc 8192
  tomcat_user soft nofile 4096
  tomcat_user hard nofile 16384
  

通过以上步骤，您可以在CentOS中设置Tomcat的权限，确保其安全性和稳定性。