创建专用用户和用户组
sudo groupadd tomcat
sudo useradd -M -s /sbin/nologin -g tomcat tomcat # 禁止登录且无密码
设置目录权限
sudo chown -R tomcat:tomcat /path/to/tomcat # 所有权归tomcat用户和组
sudo chmod -R 755 /path/to/tomcat # 目录权限755,文件权限744(需单独设置)
sudo chmod +x /path/to/tomcat/bin/*.sh # 确保启动脚本可执行
配置SELinux(若启用)
sudo setsebool -P tomcat_execmem 1 # 允许Tomcat执行内存操作
sudo chcon -R -t httpd_sys_content_t /path/to/tomcat # 设置内容类型
sudo chcon -R -t httpd_sys_rw_content_t /path/to/tomcat/logs # 允许日志写入
配置Tomcat服务以专用用户运行
编辑/etc/systemd/system/tomcat.service
,确保[Service]
部分包含:
[Service]
User=tomcat
Group=tomcat
ExecStart=/path/to/tomcat/bin/startup.sh
ExecStop=/path/to/tomcat/bin/shutdown.sh
配置Tomcat管理用户权限
编辑conf/tomcat-users.xml
,添加用户及角色(如manager-gui
、admin
等),并删除默认账户:
<user username="admin" password="密码" roles="manager-gui,admin" />
防火墙与安全加固
sudo firewall-cmd --add-port=8080/tcp --permanent # 开放端口
sudo firewall-cmd --reload
注意:
root
用户运行Tomcat,遵循最小权限原则。webapps
目录默认应用,避免安全风险。