centos下tomcat安全设置方法

在CentOS系统下对Tomcat进行安全设置，可以遵循以下步骤：

1. 初始化配置

• 删除webapps下的所有代码：首次安装完成后立即删除/srv/apache-tomcat/webapps/*，以防止恶意代码的部署。
• 注释或删除tomcat-users.xml中的所有用户权限：这样可以限制对Tomcat管理界面的访问。
• 隐藏Tomcat版本信息：
  • 编辑$CATALINA_HOME/conf/server.xml，在Connector节点添加server字段，例如：

  <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443"
             maxThreads="8192" minSpareThreads="64" maxSpareThreads="128"
             acceptCount="128" enableLookups="false" server="MyAppSrv 1.0"/>
  

  • 或者修改$CATALINA_HOME/lib/catalina.jar中的ServerInfo.properties文件，删除或修改ServerInfo.properties文件中的server.info和server.number字段。

2. 启动用户与端口

• 不要使用root用户启动Tomcat：创建一个新用户，例如useradd tomcat，并为该用户赋予Tomcat目录的权限：chown -R tomcat:tomcat /usr/java/tomcat7/*。然后使用该用户启动Tomcat。
• 解决80端口问题：可以使用iptables进行端口转发，将80端口的请求转发到8080端口：

  iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
  

  或者在Tomcat前端增加反向代理，例如使用Nginx。

3. 应用程序安全

• 关闭war自动部署：在$CATALINA_HOME/conf/server.xml中的host字段，修改unpackWARs="false"和autoDeploy="false"。
• 应用程序部署与Tomcat启动用户分离：确保应用程序目录的权限与Tomcat启动用户不同，以防止恶意代码写入。

4. JSESSIONID修改

• 修改Cookie变量JSESSIONID：将JSESSIONID改为PHPSESSID，以减少会话劫持的风险。

5. 其他安全设置

• 配置SSL/TLS：为了加密传输数据，可以配置Tomcat以使用SSL/TLS协议。首先需要生成证书和密钥文件，然后在server.xml中配置SSL/TLS连接器。
• 配置访问控制：通过配置web.xml文件，可以限制特定的URL只能被特定的用户或角色访问。
• 配置安全认证：Tomcat支持多种安全认证方式，包括基于表单的认证、基本认证、摘要认证等。
• 配置防火墙规则：在服务器层面，可以配置防火墙和安全组规则，限制对Tomcat服务的访问。
• 禁用默认的管理器应用程序：删除webapps目录下的manager和host-manager目录。
• 禁用AJP端口：如果不需要使用AJP端口，可以在server.xml中将AJP端口改为“-1”。

以上步骤可以帮助提高Tomcat在CentOS系统下的安全性。在进行任何配置更改后，建议重启Tomcat服务以使更改生效。