centos中tomcat权限设置要点

1. 创建专用Tomcat用户与用户组
为避免以root用户运行Tomcat带来的安全风险，需创建专用的非特权用户及用户组。推荐使用系统账户（无登录shell），命令如下：

sudo groupadd tomcat
sudo useradd -r -s /sbin/nologin -g tomcat -d /opt/tomcat tomcat

其中，-r表示创建系统账户，-s /sbin/nologin禁止用户登录系统，-d指定Tomcat安装目录（需根据实际路径调整）。

2. 调整Tomcat目录所有权与权限
将Tomcat安装目录及其子目录的所有权赋予tomcat用户及用户组，确保进程有权访问所需文件，同时限制其他用户的访问权限：

sudo chown -R tomcat:tomcat /opt/tomcat  # 将/opt/tomcat替换为实际安装路径
sudo chmod -R 755 /opt/tomcat/bin/*.sh   # 仅为启动/停止脚本添加执行权限

关键目录权限说明：

• 日志目录（logs）、临时目录（temp）、工作目录（work）：需tomcat用户拥有读写权限（755或775）；
• 应用部署目录（webapps）：建议设置为755，避免应用文件被非法修改；
• 配置文件目录（conf）：需严格限制为tomcat用户读写（750），防止配置泄露。

3. 配置Tomcat以专用用户运行
通过Systemd服务文件确保Tomcat启动时使用tomcat用户身份，避免权限提升风险。编辑/etc/systemd/system/tomcat.service（若不存在则创建），在[Service]部分添加以下内容：

[Service]
User=tomcat
Group=tomcat
UMask=0007  # 设置umask，确保新创建文件权限为750（所有者可读写执行，组可读执行，其他无权限）
RestartSec=10
Restart=always

之后重新加载Systemd配置并启动Tomcat：

sudo systemctl daemon-reload
sudo systemctl enable tomcat  # 开机自启
sudo systemctl start tomcat   # 立即启动

4. 配置SELinux（若系统启用）
若SELinux处于Enforcing模式（sestatus命令验证），需调整策略以允许Tomcat访问资源：

# 允许Tomcat执行内存操作（如动态类加载）
sudo setsebool -P tomcat_execmem 1
# 设置Tomcat安装目录的SELinux上下文（httpd_sys_content_t：允许Web服务器读取）
sudo chcon -R -t httpd_sys_content_t /opt/tomcat
# 设置日志目录的SELinux上下文（httpd_sys_rw_content_t：允许读写）
sudo chcon -R -t httpd_sys_rw_content_t /opt/tomcat/logs

注意：若需永久修改SELinux布尔值，需添加-P参数；若需彻底禁用SELinux（不推荐），可编辑/etc/selinux/config文件，将SELINUX=enforcing改为SELINUX=permissive，并重启系统。

5. 优化Tomcat配置文件权限
限制配置文件的访问权限，防止未经授权的修改：

sudo chmod -R 750 /opt/tomcat/conf  # 配置文件目录仅所有者（tomcat）和组可读写
sudo chmod 640 /opt/tomcat/conf/*   # 单个配置文件（如server.xml、web.xml）设置为所有者读写、组读

关键配置文件说明：

• server.xml：包含连接器、虚拟主机等核心配置，需严格保护；
• tomcat-users.xml：管理用户及角色，需限制为tomcat用户可访问。

6. 安全加固措施

• 删除默认应用：首次安装后，删除webapps目录下的默认应用（如ROOT、manager、host-manager），防止恶意代码部署：

  sudo rm -rf /opt/tomcat/webapps/*
  

• 隐藏版本信息：修改server.xml中的Connector节点，添加server属性，避免泄露Tomcat版本：

  <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" 
             redirectPort="8443" server="MyCustomServer/1.0"/>
  

• 关闭自动部署：在server.xml的Context节点中设置autoDeploy="false"和unpackWARs="false"，防止恶意WAR文件自动解压部署：

  <Context path="/myapp" docBase="/opt/tomcat/webapps/myapp" 
           autoDeploy="false" unpackWARs="false"/>
  

• 配置防火墙：允许Tomcat默认端口（8080）通过防火墙，限制访问来源（如仅允许可信IP）：

  sudo firewall-cmd --permanent --zone=public --add-port=8080/tcp
  sudo firewall-cmd --reload
  

  若需限制IP访问，可使用--add-rich-rule参数：

  sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="8080" accept'