1. 最小权限原则配置运行用户
创建专用低权限用户(如tomcat)和组,禁止以root身份运行Tomcat。通过useradd -r -s /bin/false -d /opt/tomcat -m tomcat创建系统用户,将Tomcat安装目录(如/opt/tomcat)所有权赋予该用户(chown -R tomcat:tomcat /opt/tomcat),并在Systemd服务文件(/etc/systemd/system/tomcat.service)中指定User=tomcat、Group=tomcat,确保Tomcat进程仅具备运行所需的最低权限。
2. 禁用不必要的组件与服务
webapps目录下的docs、examples、ROOT、host-manager、manager等文件夹,避免暴露敏感信息或潜在攻击面;server.xml,注释或删除<Connector protocol="AJP/1.3" ... />配置,防止通过AJP协议发起的攻击;server.xml中将autoDeploy和deployOnStartup属性设置为false,避免未经授权的应用自动部署。3. 强化访问控制与认证
server.xml的<Valve>标签限制管理界面的IP访问(如仅允许可信IP访问/manager和/host-manager),或在生产环境中直接删除manager和host-manager应用;tomcat-users.xml,为用户分配最小必要角色(如仅授予manager-gui而非manager-script),并使用强密码(包含大小写字母、数字和特殊字符);server.xml中的<Server port="8005" ...>的端口修改为非默认值(如8006),并设置复杂密码,防止未经授权的关闭操作。4. 配置SSL/TLS加密通信
使用OpenSSL或Keytool生成自签名证书(或申请CA签发证书),创建Java Keystore(keytool -genkeypair -alias tomcat -keyalg RSA -keystore /opt/tomcat/conf/keystore.jks)。编辑server.xml,添加或修改<Connector>配置以启用HTTPS(如port="8443"、protocol="org.apache.coyote.http11.Http11NioProtocol"、SSLEnabled="true"、keystoreFile="/opt/tomcat/conf/keystore.jks"、keystorePass="your_password"),强制客户端通过HTTPS访问,避免数据在传输过程中被窃取。
5. 定期更新与补丁管理
保持Tomcat(如升级至最新稳定版)和Ubuntu系统的最新状态,及时安装安全补丁。通过apt update && apt upgrade tomcat9(apt安装)或手动下载Tomcat二进制包替换旧版本,修复已知漏洞(如CVE-2025-24813等),降低被攻击的风险。
6. 日志审计与监控
server.xml中启用AccessLogValve,设置日志格式为%h %l %u %t "%r" %s %b %D(记录客户端IP、请求时间、方法、URI、状态码、响应时间等),并定期审查日志(如使用tail -f /opt/tomcat/logs/access_log实时查看);catalina.sh中的umask值为0022(umask 0022),确保新生成的日志文件权限为644(rw-r--r--),防止未授权用户修改或删除日志;FailedLoginAttempts阈值(如连续5次失败锁定账户10分钟),防止暴力破解攻击。7. 文件与目录权限加固
合理设置Tomcat目录权限,避免敏感信息泄露:
conf目录(存放配置文件):权限设为750(chmod 750 /opt/tomcat/conf),确保仅tomcat用户和组可读写;logs、temp、work目录:权限设为770(chmod 770 /opt/tomcat/logs /opt/tomcat/temp /opt/tomcat/work),允许组内用户写入;webapps目录:权限设为755(chmod 755 /opt/tomcat/webapps),禁止执行权限(如chmod -R -x /opt/tomcat/webapps),防止恶意脚本执行。8. 防火墙与网络隔离
使用Ubuntu的UFW(Uncomplicated Firewall)限制访问Tomcat的端口(如8080、8443),仅允许可信IP地址访问:
sudo ufw allow from 192.168.1.0/24 to any port 8080 proto tcp(替换为实际可信IP段);sudo ufw enable;