Tomcat在Debian上如何进行安全加固

以下是在Debian上对Tomcat进行安全加固的关键步骤：

1. 最小权限运行

   • 创建专用用户（如tomcat）并禁止登录：sudo useradd -s /bin/false -g tomcat tomcat。
   • 确保Tomcat目录权限为750，仅允许所属用户访问：sudo chown -R tomcat:tomcat /opt/tomcat。

2. 删除默认资源

   • 移除webapps目录下的docs、examples、manager、host-manager等默认应用，避免暴露敏感信息。

3. 修改默认端口与隐藏版本

   • 编辑conf/server.xml，将HTTP端口从8080改为其他非默认端口（如1234），并设置server属性为自定义字符串覆盖版本信息。

4. 配置SSL/TLS加密

   • 生成自签名证书或使用Let’s Encrypt获取证书，导入至Java KeyStore（JKS）。
   • 在server.xml中启用HTTPS连接器，指定证书路径和密码。

5. 限制管理界面访问

   • 删除或重命名manager和host-manager应用，或通过IP白名单限制访问。
   • 在tomcat-users.xml中配置强密码的管理用户，并限制角色权限。

6. 防火墙与网络隔离

   • 使用ufw仅允许必要端口（如HTTP/HTTPS）的流量：sudo ufw allow 1234/tcp（自定义端口）。
   • 禁用AJP端口（若无需使用）：在server.xml中将8009端口改为-1。

7. 定期更新与监控

   • 定期通过apt更新Tomcat至最新版本，修复安全漏洞。
   • 监控日志文件（如catalina.out），设置入侵检测系统（IDS）监测异常访问。

参考来源：