Linux下如何安全运行Tomcat

以下是在Linux下安全运行Tomcat的关键措施：

1. 最小权限原则

   • 以非root用户（如tomcat）运行Tomcat，避免使用root权限。
   • 确保应用部署目录权限为750，且所属用户为tomcat，避免应用修改自身代码。

2. 禁用默认配置

   • 删除webapps目录下默认的docs、examples等示例应用，减少攻击面。
   • 禁用自动部署功能，设置autoDeploy="false"和unpackWARs="false"。

3. 隐藏敏感信息

   • 修改server.xml中Connector的server属性，隐藏Tomcat版本信息。
   • 自定义web.xml中的错误页面，避免暴露系统细节。

4. 访问控制与加密

   • 通过防火墙（如ufw）限制Tomcat端口（如HTTP 8080、HTTPS 8443）的访问范围。
   • 启用HTTPS，配置SSL证书，修改server.xml添加SSL连接器。
   • 禁用AJP协议（若使用Nginx反向代理），注释server.xml中的AJP连接器。

5. 用户与认证管理

   • 删除tomcat-users.xml中不必要的用户，仅保留必要的管理用户，并设置强密码（8位以上，含数字、字母、特殊符号）。
   • 限制管理界面（如manager）的访问IP，通过RemoteAddrValve配置。

6. 日志与监控

   • 启用访问日志，记录用户操作和请求信息，定期审计。
   • 配置入侵检测系统（IDS）监控异常流量。

7. 系统级安全加固

   • 定期更新Tomcat至最新版本，修复已知漏洞。
   • 禁用危险的HTTP方法（如PUT、DELETE），在web.xml中设置readonly="true"。

参考来源：