Ubuntu Tomcat安全设置指南

简介

在Ubuntu系统上配置Tomcat时，确保其安全性至关重要。通过实施适当的安全措施，可以显著降低潜在的安全风险，保护Web应用程序免受攻击。

详细步骤

1. 安装Java环境

首先，确保在系统上安装了Java运行环境。Tomcat需要Java来运行，因此必须先安装Java。

sudo apt update
sudo apt install openjdk-11-jdk
java -version

2. 创建Tomcat系统用户

为了避免以root用户运行Tomcat带来的安全风险，建议创建一个新的用户和组来管理Tomcat进程。

sudo useradd -m -d /opt/tomcat -U -s /bin/false tomcat

3. 下载和解压Tomcat

从Apache Tomcat官方网站下载最新版本的Tomcat，然后将其解压到指定目录。

wget https://downloads.apache.org/tomcat/tomcat-10/v10.0.27/bin/apache-tomcat-10.0.27.tar.gz
sudo tar xzvf apache-tomcat-10.0.27.tar.gz -C /opt/tomcat --strip-components=1

4. 配置Tomcat

4.1 修改默认端口号

编辑/opt/tomcat/conf/server.xml文件，修改默认的HTTP和AJP端口，以增强安全性。

<Connector port="8081" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

4.2 删除默认目录

删除$CATALINA_HOME/webapps下的默认目录，防止自动部署可能带来的安全风险。

rm -rf /opt/tomcat/webapps/*

4.3 禁用不必要的服务

在$CATALINA_HOME/conf/server.xml中，设置autoDeploy和unpackWARs属性为false，以关闭自动部署功能。

<Host name="localhost" appBase="/opt/tomcat/webapps" unpackWARs="false" autoDeploy="false">

4.4 隐藏Tomcat版本信息

修改$CATALINA_HOME/conf/server.xml中的server字段，或者修改$CATALINA_HOME/lib/catalina.jar中的ServerInfo.properties文件，以隐藏Tomcat的版本信息。

<Connector port="8081" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" server="Custom Server Name" />

4.5 配置管理用户的验证

在/opt/tomcat/conf/tomcat-users.xml文件中创建管理用户，并分配必要的角色和权限。

<tomcat-users>
  <role rolename="manager-gui"/>
  <role rolename="admin-gui"/>
  <user username="admin" password="password" roles="manager-gui,admin-gui"/>
</tomcat-users>

4.6 启用HTTPS

为Tomcat配置SSL/TLS以启用HTTPS，加密客户端与服务器之间的通信。

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           keystoreFile="/path/to/your/keystore.p12"
           keystorePass="your_keystore_password" keyAlias="tomcat"
           clientAuth="false" sslProtocol="TLS"/>

4.7 配置防火墙

使用ufw或iptables配置Linux系统防火墙，限制外部访问Tomcat服务的端口。

sudo ufw allow 8081/tcp
sudo ufw allow 8009/tcp
sudo ufw enable

5. 监控和日志审核

定期审查Tomcat的日志文件，监控任何异常活动或安全事件。可以配置入侵检测系统（IDS）来进一步检测和报告潜在的安全问题。

6. 其他安全建议

• 定期更新Tomcat：确保Tomcat保持最新状态，修复已知的安全漏洞。
• 使用自定义错误页面：通过修改web.xml文件，自定义错误页面以防止敏感信息泄露。
• 应用权限控制：确保应用部署目录的权限设置正确，应用部署目录应为非root用户拥有。

总结

通过上述步骤，您可以有效地提高Ubuntu上Tomcat服务器的安全性。这些措施不仅有助于防止未授权访问，还能保护Web应用程序免受常见的网络威胁。请根据具体环境和需求，持续审查和更新安全配置，以确保服务器的安全性。

亿速云「云服务器」，即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘，价格低至29元/月。点击查看>>