centos上tomcat安全设置怎么做

在CentOS上设置Tomcat的安全配置，可以遵循以下步骤：

1. 安装后初始化配置：

   • 删除webapps目录下的所有内容：rm -rf /srv/apache-tomcat/webapps/*
   • 注释或删除tomcat-users.xml中的所有用户权限。
   • 隐藏Tomcat版本信息：

     vim $CATALINA_HOME/conf/server.xml
     

     在<Connector>标签中添加server="YourAppName"。
   • 创建一个新用户并赋予其Tomcat目录的权限：

     useradd -m tomcat
     chown -R tomcat:tomcat /usr/java/tomcat7
     

   • 使用非root用户启动Tomcat，例如tomcat用户。

2. 启动用户与端口：

   • 避免使用root用户启动Tomcat，可以创建一个新用户并赋予其权限来启动Tomcat。
   • 如果使用80端口，可以通过iptables进行端口转发：

     iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
     

3. 应用程序安全：

   • 关闭war自动部署：

     <Context unpackWARs="false" autoDeploy="false"/>
     

   • 应用程序部署目录权限与Tomcat服务启动用户分离。
   • 删除默认目录：

     rm -rf /srv/apache-tomcat/webapps/*
     

4. 修改Cookie变量：

   • 修改context.xml文件，启用HttpOnly属性：

     <Context useHttpOnly="true">
     

5. 其他安全配置：

   • 禁用目录列表： 在web.xml中添加：

     <servlet>
         <servlet-name>default</servlet-name>
         <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
         <init-param>
             <param-name>listings</param-name>
             <param-value>false</param-value>
         </init-param>
     </servlet>
     

   • 启用SSL/TLS： 编辑server.xml文件，添加以下内容：

     <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true">
         <SSLHostConfig>
             <Certificate certificateKeystoreFile="/path/to/keystore.jks" type="RSA" />
         </SSLHostConfig>
     </Connector>
     

   • 限制管理控制台的访问： 编辑$CATALINA_HOME/conf/tomcat-users.xml文件，添加具有不同权限的角色和用户。

6. 操作系统级别的安全措施：

   • 配置防火墙规则，限制对Tomcat端口的访问：

     sudo iptables -A INPUT -p tcp --dport 8081 -j ACCEPT
     sudo iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
     sudo iptables -A INPUT -j DROP
     

7. 定期更新和打补丁：

   • 确保Tomcat和所有相关组件都是最新版本，并及时应用安全补丁。

通过以上步骤，可以显著提高Tomcat在CentOS系统上的安全性。