Ubuntu Tomcat安全设置有哪些

以下是Ubuntu Tomcat的关键安全设置：

1. 权限最小化

   • 创建专用用户（非root）运行Tomcat，分离应用目录权限。
   • 配置文件权限：conf（770）、logs（755）、webapps（755，禁止执行）。

2. 关闭非必要服务

   • 删除默认Web应用（webapps目录下非必要文件）。
   • 禁用自动部署：server.xml中设置unpackWARs="false"和autoDeploy="false"。

3. 隐藏版本信息

   • 修改server.xml中Connector的server属性，或替换catalina.jar中的ServerInfo.properties文件。

4. 访问控制与认证

   • 配置tomcat-users.xml定义角色和用户，限制管理界面访问。
   • 通过web.xml设置安全约束（如/admin/*路径需特定角色访问）。

5. 加密传输

   • 配置SSL/TLS证书（自签名或CA颁发），启用HTTPS（server.xml中添加SSLEnabled="true"等参数）。
   • 限制HTTP头信息，启用Cookie的HttpOnly属性。

6. 防火墙与端口管理

   • 使用ufw或iptables仅开放必要端口（如8080/8443），关闭默认AJP端口（若无需Apache反向代理）。

7. 日志与监控

   • 启用访问日志审计，定期审查异常访问记录。
   • 配置系统日志监控，检测入侵行为。

8. 其他安全措施

   • 定期更新Tomcat至最新版本，应用安全补丁。
   • 禁用管理界面（生产环境删除host-manager和manager应用）。

参考来源：[1,2,3,4,5,6,7,8,9,10,11]